Golden Ticket (Kerberos)

Le Golden Ticket est une attaque Kerberos dévastatrice qui permet à un attaquant de forger des tickets TGT (Ticket Granting Ticket) arbitraires après avoir compromis le hash NTLM du compte krbtgt d'un domaine Active Directory. Le compte krbtgt est le compte spécial qui chiffre tous les TGT du domaine — quiconque possède son hash peut signer/déchiffrer n'importe quel ticket.

Une fois le hash krbtgt obtenu (typiquement via DCSync après compromission d'un Domain Admin), l'attaquant utilise mimikatz, Rubeus ou impacket-ticketer pour forger un TGT pour n'importe quel utilisateur (même inexistant), avec n'importe quels groupes (Domain Admins, Enterprise Admins), valable jusqu'à 10 ans par défaut. Ce ticket est accepté par tous les DCs du domaine sans vérification, donnant un accès persistant complet — la persistence ultime.

Détection : (1) tickets TGT avec durée de vie anormale (>10h par défaut) ; (2) tickets pour utilisateurs inexistants (Event ID 4769 sur DC avec username invalide) ; (3) tickets émis sans Event 4768 préalable correspondant ; (4) corrélation avec Microsoft Defender for Identity (anciennement ATA), Splunk, Sentinel. Mitigations : (1) protéger les DCs (Tier 0) ; (2) rotation du hash krbtgt après tout incident (script New-KrbtgtKeys.ps1 — DEUX fois à 10h d'intervalle pour invalider tous les tickets) ; (3) AES-only Kerberos ; (4) Protected Users group ; (5) audit régulier des privilèges. Le Silver Ticket est une variante limitée à un service.