Kerberoasting
Pides un ticket TGS para una cuenta de servicio (SPN).
Categoría: Active Directory · Kerberos & NTLM 🎯 Trinchera — Pides un ticket TGS para una cuenta de servicio (SPN). El ticket viene cifrado con el hash de esa cuenta. Te lo llevas a casa y lo crackeas offline conhashcat.
🔗 Kill chain — Requisito: cualquier usuario autenticado del
dominio. Si la contraseña de la cuenta de servicio es débil, en
horas tienes credenciales de nivel servicio (a menudo con privilegios
elevados).
📡 Huella defensiva — Event ID 4769 con cifrado RC4
(Ticket Encryption Type: 0x17). Múltiples 4769 desde una misma
cuenta apuntando a SPNs distintos = patrón de Kerberoasting.
⚠️ Falso amigo — Olvidar filtrar por adminCount=1. Te llevas el
TGS de cualquier servicio, pero los que importan son los privilegiados.
🛡️ Remediación — gMSA (contraseñas de 240 caracteres rotadas
solas), forzar AES en cuentas de servicio, contraseñas largas (25+).
← Volver al glosario completo Última actualización: 2026-06-11