O que é um ataque Silver Ticket?
Um ataque Silver Ticket consiste em forjar um ticket de serviço Kerberos (TGS) usando o segredo da conta de serviço alvo. A MITRE registra a técnica como T1558.002, Silver Ticket.
O escopo é mais estreito que um Golden Ticket, mas o mecanismo é importante. Um atacante que conhece o hash de senha ou a chave Kerberos de uma conta de serviço pode forjar um ticket para esse serviço e apresentá-lo diretamente ao host que executa o serviço. A MITRE deixa três pontos claros:
- o atacante precisa do hash de senha da conta de serviço alvo
- o ticket forjado é um ticket de serviço, não um TGT
- o ticket pode ser criado sem interagir com o KDC
Esse último ponto explica o valor da técnica. O atacante não pede ao controlador de domínio que emita o ticket de serviço em tempo real. Ele forja o ticket offline e o apresenta ao serviço alvo.
O escopo deste artigo é Kerberos em Windows Active Directory. O foco são os pré-requisitos reais, a diferença para Golden Ticket e o hardening de contas de serviço que reduz a oportunidade de forma prática.
Como o ataque Silver Ticket funciona
Em um fluxo Kerberos normal, o Key Distribution Center emite um ticket de serviço depois que o cliente apresenta um TGT válido. Silver Ticket quebra esse fluxo esperado forjando o ticket de serviço diretamente.
A MITRE afirma que adversários com o hash de senha de uma conta de serviço alvo podem forjar Kerberos ticket granting service tickets, ou seja, tickets de serviço. Diferente de Golden Tickets, esses tickets são limitados a um recurso e ao sistema que hospeda esse recurso. Mas eles podem ser criados sem interação com o KDC.
Isso traz duas consequências:
- o ticket é limitado a um service principal específico
- a detecção é mais difícil porque o caminho normal de emissão pelo controlador de domínio está ausente
Por que o segredo da conta de serviço importa
Silver Ticket funciona porque o atacante conhece a chave da conta de serviço alvo. Esse segredo pode vir de:
- credential dumping após comprometer um servidor
- extração do hash da conta de serviço em um host onde o serviço roda
- Kerberoasting Explicado — Deteccao & Prevencao, que a MITRE cita como um caminho para obter o hash alvo
Se o atacante não obtém o segredo da conta de serviço, não consegue forjar um Silver Ticket útil para esse serviço.
O papel da PAC exige cuidado
A documentação Microsoft sobre PAC mostra que o processamento pode depender do modelo da aplicação e de hipóteses de confiança. A Microsoft observa que a validação PAC pode ser opcional para uma aplicação autocontida.
Essa nuance é útil, mas não deve ser exagerada. O pré-requisito central continua sendo possuir o segredo da conta de serviço e mirar um caminho de serviço que aceite o ticket apresentado. PAC é parte do processamento do serviço, não uma explicação universal para todo Silver Ticket bem-sucedido.
Silver Ticket vs Golden Ticket, Kerberoasting e Pass-the-Ticket
Esses termos são frequentemente misturados, mas descrevem coisas diferentes.
- Silver Ticket: ticket de serviço forjado para um serviço específico após obter o segredo da conta de serviço
- Golden Ticket: TGT forjado com o segredo
krbtgt, com impacto muito mais amplo no domínio. Veja Ataque Golden Ticket — Deteccao & Remediacao - Kerberoasting: solicitar tickets de serviço legítimos ao KDC e quebrá-los offline para recuperar segredos de contas de serviço
- Pass-the-Ticket: reutilizar um ticket Kerberos real roubado, não forjado
Silver Ticket geralmente vem depois de outra técnica. Kerberoasting ou credential dumping obtém o segredo; Silver Ticket transforma esse segredo em acesso não autorizado ao serviço.
Por que Silver Ticket ainda importa
Silver Ticket é menos famoso que Golden Ticket, mas atinge uma fraqueza comum: segredos de contas de serviço mal gerenciados.
Contas de serviço vivem por tempo demais
Contas de serviço frequentemente permanecem por anos, sustentam várias aplicações e acumulam SPNs, direitos locais e exceções operacionais. São exatamente os segredos estáveis que um atacante procura.
O ataque é mais silencioso que um fluxo KDC normal
A MITRE destaca o problema principal de detecção: o ticket pode ser criado sem interação com o KDC. Parte da visibilidade normal do controlador de domínio está ausente desde o momento da forja.
A higiene de contas de serviço ainda é fraca
A Microsoft documenta contas de serviço gerenciadas porque a gestão manual de senhas de serviço é propensa a erro. Uma conta de usuário comum usada como serviço ainda é um local frequente para segredos antigos, rotação fraca e criptografia inconsistente.
Criptografia Kerberos legacy aumenta exposição
A orientação atual da Microsoft continua incentivando auditoria e redução de RC4 em Kerberos. Isso é relevante porque contas antigas com postura legacy costumam fazer parte da mesma população de contas de serviço mal gerenciadas.
Pré-requisitos para um ataque Silver Ticket bem-sucedido
Silver Ticket não é um truque Kerberos sem condições.
1. O atacante precisa obter o segredo da conta de serviço
Esse é o pré-requisito central. A MITRE diz explicitamente que é necessário o hash da conta de serviço alvo. Caminhos comuns são credential dumping e Kerberoasting.
2. O serviço alvo precisa depender desse service principal
O ticket forjado deve corresponder a uma identidade de serviço real aceita pelo host. Por isso o escopo é menor que Golden Ticket.
3. O caminho do serviço precisa aceitar o ticket
A documentação Microsoft sobre PAC explica por que o processamento pode variar por aplicação. Mas isso não elimina a necessidade de mirar o service principal correto com o segredo correto.
4. A conta de serviço precisa ter valor
Um ticket para um serviço de baixo valor ainda é problema, mas o risco real aparece quando a conta está ligada a aplicações sensíveis, workflows administrativos ou hosts privilegiados.
5. A higiene de contas de serviço é fraca
Contas de usuário usadas como serviços, ausência de gMSA, senhas antigas, privilégios excessivos ou dependência de RC4 tornam os pré-requisitos mais realistas.
Cadeia de ataque
Uma cadeia Silver Ticket prática costuma seguir estes passos.
Etapa 1 - Identificar uma conta de serviço interessante
O atacante mapeia SPNs, serviços e sistemas para encontrar um service principal útil.
Etapa 2 - Obter o hash ou a chave da conta
O segredo vem de dumping, quebra offline após Kerberoasting ou outro caminho de acesso a credenciais.
Etapa 3 - Forjar o ticket de serviço offline
Com o segredo, o atacante cria um ticket de serviço Kerberos para o service principal escolhido.
Etapa 4 - Apresentar o ticket diretamente ao serviço
É aqui que Silver Ticket diverge do fluxo Kerberos normal. A MITRE indica que o ticket forjado pode ser usado sem interação com o KDC.
Etapa 5 - Usar o acesso dentro do escopo do serviço
O acesso é mais estreito que Golden Ticket, mas pode ser sério se o serviço roda em um host sensível, expõe funções administrativas ou habilita movimento lateral.
Por isso Silver Ticket pertence à revisão de Caminhos de Ataque AD: Ma Configuracoes em Cadeia.
Detecção
Detectar Silver Ticket é difícil porque o atacante pode nunca pedir ao KDC o ticket que usa.
O modelo correto é detecção de anomalias mais detecção dos pré-requisitos, não um único Event ID milagroso.
Procurar uso de service ticket que não alinha com o KDC
A estratégia MITRE DET0241 recomenda buscar atividade anômala de tickets de serviço, incluindo atividade sem padrões esperados de validação ou emissão pelo KDC.
Investigue casos em que:
- uma conta de serviço aparece em hosts ou recursos fora do escopo esperado
- o serviço alvo vê atividade Kerberos que não combina com padrões normais de emissão TGS no KDC
- campos incomuns ou malformados aparecem em dados de logon ou ticket
Não é uma regra simples. É necessária uma baseline dos hosts e recursos que cada conta de serviço deve tocar.
Monitorar ataques pré-requisito
A MITRE também aponta acesso suspeito ao LSASS e credential dumping como fontes úteis. O segredo da conta de serviço geralmente é roubado antes do Silver Ticket existir.
Monitore:
- acesso suspeito ao LSASS
- comportamento de credential dumping
- Kerberoasting Explicado — Deteccao & Prevencao
- autenticações de contas de serviço fora do escopo
Detectar a cadeia antes do ticket final costuma ser mais confiável.
Usar contexto Kerberos com prudência
O evento 4769 é útil porque representa uma solicitação normal de ticket de serviço no KDC. Para Silver Ticket, o ponto não é alertar simplesmente quando 4769 está ausente. O ponto é entender que um ticket forjado pode não seguir o caminho normal de emissão. Essa lógica exige baseline.
Observar contas de serviço fora do raio esperado
A MITRE cita explicitamente tentativas de acesso com contas de serviço fora de hosts ou recursos esperados. Isso costuma ser mais acionável que sinais puramente protocolares.
Correlacionar atividade privilegiada posterior
Se o ticket chega a um serviço com impacto administrativo, podem aparecer:
- acesso incomum a funções admin da aplicação
- logons ou acessos ao host do serviço por identidades inesperadas
- ações privilegiadas downstream
- anomalias cobertas em Monitoramento de Seguranca AD: Os Eventos que Importam
Remediação
A mitigação de Silver Ticket é principalmente higiene de contas de serviço. Se o atacante não consegue obter um segredo reutilizável, não consegue forjar o ticket.
1. Migrar serviços elegíveis para gMSA
A documentação Microsoft sobre group Managed Service Accounts é a mitigação primária mais clara. gMSAs deixam o Windows gerenciar senhas de contas de serviço, rotacionar chaves e reduzir sincronização manual. Isso ataca diretamente segredos estáticos ou mal gerenciados.
2. Configurar AES para contas de serviço gerenciadas
A Microsoft afirma que Managed Service Accounts dependem dos tipos de criptografia Kerberos suportados e recomenda sempre configurar AES para MSAs. Se o host não suporta RC4, a autenticação falha quando a conta não tem postura AES correta.
3. Redefinir senhas antigas de contas de serviço
A orientação Microsoft sobre RC4 explica que contas antigas podem não ter chaves AES se a senha nunca foi alterada após o suporte a AES. Alterar a senha gera essas chaves.
4. Reduzir dependência de RC4
A Microsoft fornece etapas atuais para auditar e remediar RC4 em Kerberos. Isso não torna Silver Ticket impossível sozinho, mas remove uma fraqueza legacy da mesma população de contas de serviço. Também complementa AS-REP Roasting: Coletando Hashes Sem Credenciais.
5. Minimizar privilégios e escopo
Um ticket forjado só é tão útil quanto a conta por trás dele. Contas de serviço não devem ter admin local, grupos privilegiados ou acesso amplo se o serviço não precisa disso.
6. Inventariar SPNs e ownership
Um programa sério deve saber:
- quais SPNs mapeiam para quais contas
- quais hosts devem usar essas contas
- quem é responsável por cada conta
- se a conta pode migrar para gMSA
- se ainda depende de RC4 ou legacy
Isso faz parte de Auditar a segurança do Active Directory: checklist prática.
7. Tratar Kerberoasting e dumping como precursores diretos
Se um atacante consegue dumpar ou quebrar o segredo de uma conta de serviço, o caminho Silver Ticket está aberto. Revise Kerberoasting Explicado — Deteccao & Prevencao, Ataques Delegacao Kerberos: Nao Restrita a RBCD e Ataque Golden Ticket — Deteccao & Remediacao.
Validação após hardening
Não feche risco Silver Ticket após uma única troca de senha.
- confirmar quais serviços ainda usam contas de usuário tradicionais em vez de gMSA
- verificar se as contas têm chaves AES e se RC4 ainda está em uso
- revisar
msDS-SupportedEncryptionTypesquando relevante - comparar configuração com uso Kerberos observado nos controladores de domínio
- analisar eventos
4769para entender quais contas solicitam tickets e com qual criptografia - confirmar que serviços sensíveis não dependem de identidades compartilhadas, antigas ou não documentadas
- remover privilégios acima do necessário
O sucesso real não é apenas política Kerberos melhor. É que comprometer uma conta de serviço não entregue mais um segredo estável e reutilizável de alto valor.
Como a EtcSec detecta exposição relacionada
Não existe um vulnerability type exato para Silver Ticket no catálogo atual. Os achados mais úteis são os pré-requisitos e fraquezas Kerberos que tornam a técnica prática.
Os mais relevantes são:
KERBEROASTING_RISK, porque recuperar offline um segredo de conta de serviço é precursor diretoKERBEROS_RC4_FALLBACK, porque a postura Kerberos legacy frequentemente se sobrepõe às mesmas contas mal gerenciadas- contas de serviço superprivilegiadas ou muito amplas
- condições de attack path em Caminhos de Ataque AD: Ma Configuracoes em Cadeia
O modelo correto: Silver Ticket é uma técnica de ticket forjado, mas a superfície real de correção é higiene de contas de serviço.
Controles relacionados
Ao revisar risco Silver Ticket, revise também Ataque Golden Ticket — Deteccao & Remediacao, Kerberoasting Explicado — Deteccao & Prevencao, AS-REP Roasting: Coletando Hashes Sem Credenciais, Ataques Delegacao Kerberos: Nao Restrita a RBCD, Monitoramento de Seguranca AD: Os Eventos que Importam, Caminhos de Ataque AD: Ma Configuracoes em Cadeia, Auditar a segurança do Active Directory: checklist prática e Comparação de ferramentas de auditoria AD.
