Silver Ticket (Kerberos)

Le Silver Ticket est une attaque Kerberos plus discrète que le Golden Ticket : au lieu de forger un TGT signé par krbtgt (qui passe par le KDC à chaque demande de service), elle forge directement un TGS (Ticket Granting Service) pour un service spécifique, signé par le hash NTLM du compte de service ou du compte ordinateur cible.

Workflow : (1) l'attaquant compromet le hash NTLM d'un compte de service (ex: compte SQL Server, compte d'un partage SMB, machine account d'un serveur) via Kerberoasting, dump LSASS, ou autre ; (2) avec mimikatz/Rubeus/ticketer.py, il forge un TGS qui prétend que "user X est membre des groupes Y" pour le service ciblé ; (3) il présente ce TGS au service, qui le valide localement (le KDC n'est pas contacté) et accorde l'accès. Avantage majeur pour l'attaquant : aucun trafic vers le DC = pas de logs Kerberos côté KDC, détection beaucoup plus difficile.

Limitation : un Silver Ticket n'est valide que pour le service dont le hash a été compromis (pas de propagation latérale automatique). Mais cela suffit pour persister sur des cibles précieuses (CIFS d'un fileserver, HTTP d'un SharePoint, MSSQL d'une DB sensible).

Détection/Mitigation : (1) PAC validation côté service (désactivée par défaut pour la perf) ; (2) rotation régulière des mots de passe des comptes de service via gMSA (Group Managed Service Accounts) — rotation automatique tous les 30j ; (3) AES-only Kerberos ; (4) audit Event 4624 logon type 3 avec corrélation absence de TGS request côté DC ; (5) monitoring EDR sur les processus utilisant des SPN inhabituels.