Silver Ticket
O que é Silver Ticket?
Silver TicketTicket de servico Kerberos (TGS) forjado com o hash de uma conta de servico alvo, concedendo acesso silencioso apenas a esse servico.
Um Silver Ticket e um TGS forjado offline a partir do hash NTLM ou AES de uma conta de servico especifica, por exemplo SQL Server, IIS ou CIFS. Como e assinado pela propria conta de servico e nao pelo krbtgt, o atacante nao fala com o KDC e nao surgem eventos Kerberos no controlador de dominio. Durante a validade do ticket, pode aceder a esse servico unico fazendo-se passar por qualquer utilizador, incluindo privilegiados. O MITRE ATT&CK classifica a tecnica como T1558.002 (Steal or Forge Kerberos Tickets: Silver Ticket). As mitigacoes incluem palavras-passe fortes para contas de servico (gMSA), Kerberos so com AES, validacao PAC e monitorizacao dos logs de autenticacao do servico.
● Exemplos
- 01
Forjar um Silver Ticket para o servico MSSQL de um servidor de bases de dados e consultar dados como admin.
- 02
Forjar um Silver Ticket CIFS para ler ficheiros de uma partilha sensivel sem contactar o DC.
● Perguntas frequentes
O que é Silver Ticket?
Ticket de servico Kerberos (TGS) forjado com o hash de uma conta de servico alvo, concedendo acesso silencioso apenas a esse servico. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Silver Ticket?
Ticket de servico Kerberos (TGS) forjado com o hash de uma conta de servico alvo, concedendo acesso silencioso apenas a esse servico.
Como funciona Silver Ticket?
Um Silver Ticket e um TGS forjado offline a partir do hash NTLM ou AES de uma conta de servico especifica, por exemplo SQL Server, IIS ou CIFS. Como e assinado pela propria conta de servico e nao pelo krbtgt, o atacante nao fala com o KDC e nao surgem eventos Kerberos no controlador de dominio. Durante a validade do ticket, pode aceder a esse servico unico fazendo-se passar por qualquer utilizador, incluindo privilegiados. O MITRE ATT&CK classifica a tecnica como T1558.002 (Steal or Forge Kerberos Tickets: Silver Ticket). As mitigacoes incluem palavras-passe fortes para contas de servico (gMSA), Kerberos so com AES, validacao PAC e monitorizacao dos logs de autenticacao do servico.
Como se defender contra Silver Ticket?
As defesas contra Silver Ticket costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- identity-access№ 584
Kerberos
Protocolo de autenticação de rede baseado em tickets que utiliza criptografia simétrica e um Centro de Distribuição de Chaves confiável para oferecer SSO seguro entre serviços.
- attacks№ 447
Golden Ticket
TGT Kerberos forjado, assinado com o hash da conta krbtgt, que permite ao atacante personificar qualquer principal do dominio.
- attacks№ 791
Pass-the-Ticket
Ataque ao Active Directory que reutiliza um ticket Kerberos roubado para se fazer passar por um utilizador ou servico sem conhecer a palavra-passe.
- defense-ops№ 682
Mimikatz
Ferramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS.
- identity-access№ 013
Active Directory
Serviço de diretório empresarial da Microsoft para redes Windows, que fornece autenticação, autorização e gestão de políticas centralizada para utilizadores, computadores e recursos.
- attacks№ 583
Kerberoasting
Ataque offline de palavras-passe que solicita tickets de servico Kerberos para contas de servico e quebra a parte cifrada para recuperar as palavras-passe em claro.