Kerberoasting

Le Kerberoasting est une attaque Active Directory qui exploite une caractéristique du protocole Kerberos : tout utilisateur authentifié peut demander un TGS (Ticket Granting Service) pour n'importe quel SPN (Service Principal Name) enregistré dans le domaine. Le TGS retourné est partiellement chiffré avec le hash NTLM du compte de service propriétaire du SPN — ce qui permet à l'attaquant de bruteforcer offline ce hash sans interaction avec le DC.

Workflow : (1) en tant qu'utilisateur authentifié (même non privilégié), l'attaquant énumère les comptes ayant un SPN via Get-ADUser -Filter {ServicePrincipalName -ne null} ou via Rubeus/GetUserSPNs.py ; (2) il demande des TGS pour ces SPN (Rubeus kerberoast, GetUserSPNs.py -request) ; (3) il extrait les tickets au format hashcat (mode 13100) ou john ; (4) il bruteforce offline avec une wordlist + règles. Les comptes de service ont souvent des mots de passe faibles et qui ne tournent jamais — un bon dictionnaire casse 50-80% des hashes en quelques heures sur un GPU.

Les comptes cibles privilégiés : comptes de service MSSQL (souvent Domain Admin pour raisons historiques), Exchange, partages de fichiers. Une fois le mot de passe craqué, l'attaquant a accès direct au compte sans alerte (logon as a service paraît légitime).

Détection : (1) Event ID 4769 (Kerberos Service Ticket) avec encryption type 0x17 (RC4) — préférée par les attaquants car plus rapide à bruteforcer ; (2) volume anormal de TGS demandés par un même utilisateur ; (3) Microsoft Defender for Identity. Mitigations : (1) imposer AES-only Kerberos (msDS-SupportedEncryptionTypes=24) ; (2) gMSA (Group Managed Service Accounts) avec mots de passe 240 caractères auto-rotés ; (3) supprimer les SPN inutiles ; (4) auditer les comptes de service avec privilèges élevés.