Kerberoasting

Kerberoasting — это старая уязвимость в Windows, которая до сих пор работает: злоумышленник, получивший доступ к сети, может перехватить TGS-тикет любого сервиса, зашифрованный паролем учётной записи SPN, и затем в автономном режиме подобрать пароль.

Не требует привилегий.
Работает, пока пароль не слишком сложный.
Microsoft знает, но не считает критичным.

Итог: пароли сервисных учёток — слабое звено; используйте длинные случайные пароли и регулярно меняйте их.

Комментарии (61)

Kerberoasting всё ещё жив: атака ломает не TGT, а TGS-тикеты, зашифрованные NT-хэшем пароля сервис-аккаунта.
99 % проблем — человеческие: админы вешают SPN на обычные учётки, ставят короткие пароли и не отключают слабые RC4.
Microsoft с 2022 года выдаёт AES по умолчанию, но совместимость оставляет RC4 «для старого», и инструменты вроде PingCastle до сих пор не ругаются на это.
Пентесты показывают 50 % успеха в 2010-х и всё ещё высокий процент: 21-символьный пароль из менеджера + отключенный RC4 надёжно закрывают атаку.
Универсального фикса нет: keytab-файлы, строгие SPN, AES-only GPO и ротация паролей работают только вместе, но требуют ручной работы и ломают устаревшие приложения.