Password-hash vom krbtgt-Konto?

[zahni 555]

Ich habe mal wieder eine Frage: Wenn es jemand schafft, den Password-hash vom krbtgt-Konto zu dumpen, wird er sich sicher doch alsbald das Golden Ticket erzeugen. Was bringen dann die Änderungen dass Passwords?

Lt. Internet bleibt das Golden Ticket unbegrenzt gültig...?

Sorry, falls die Frage doof war.

 

[cj_berlin 1.339]

Moin,

zwischen dem ersten Pass-the-Hash und dem Golden Ticket liegen meist ein paar (Zeiteinheit je nach Paranoia/Optimismus einfügen). Das kannst Du in der Zeit mit der Änderung des KRBTGT-Kennworts abschneiden.

bearbeitet 19. August 2021 von cj_berlin

[NilsK 2.968]

Moin,

 

Das Golden Ticket wird ungültig, wenn der Kennwort-Hash sich zweimal geändert hat. Es ist mit diesem Hash verschlüsselt.

 

Gruß, Nina

[zahni 555]

vor 19 Stunden schrieb NilsK:

Moin,

 

Das Golden Ticket wird ungültig, wenn der Kennwort-Hash sich zweimal geändert hat. Es ist mit diesem Hash verschlüsselt.

 

Gruß, Nina

Hi Nina ;)

 

dann bin ich gestern beim Googeln wohl auf eine Seite gestoßen, wo es falsch stand.

[NorbertFe 2.086]

Naja die wenigsten wussten bis vor kurzem überhaupt von dem Konto. da kann man dann eben von „ewig laufendem golden ticket“ ausgehen. ;)

[zahni 555]

Man soll halt nicht alles glauben, wenn sich jemand "Dr. Datenschutz" nennt:

 

https://www.dr-datenschutz.de/kerberos-und-das-golden-ticket-der-it-security-super-gau/

[NorbertFe 2.086]

Schön ist ja der Satz, bzw. Die Kombination der zwei aussagen:

 

Zitat

So hart es klingt, aber es gibt keine vernünftige Möglichkeit, das Netzwerk sicher zu bereinigen, um den Angreifer auszusperren.

 

Zitat

Besteht also die Möglichkeit, dass ein Golden Ticket ausgestellt wurde, muss dieser Frage umgehend und umfassend nachgegangen werden.

 

[cj_berlin 1.339]

Naja, bis inklusive 2003 (FL, nicht Jahr  ) war es ja auch nicht wirklich supported, das Kennwort des KRBTGT zurückzusetzen...

[NilsK 2.968]

Moin,

 

ja, der Artikel ist sehr laienhaft und überspielt mangelnde Sachkenntnis mit reißerischer Darstellung.

 

Zitat

Ein solcher Hinweis könnte bspw. in einem ungewollten Ausführen von Mimikatz auf einem System der Domäne liegen.

 

Auch dies klingt ja kompetenter als es ist. Wie sollte man so einen Nachweis denn bringen? Ist ja nicht so, dass Mimikatz ins Eventlog schreibt, wenn es läuft. Und den Angriff erkennt man i.d.R. deshalb nicht, weil Mimikatz ja nun mal Lücken ausnutzt und die Kommunikation technisch betrachtet valide ist.

 

Das Ändern des krbtgt-Kennworts wiederum ist eigentlich nur dann sinnvoll, wenn man während des Vorgangs sicher sein kann, dass der Angreifer nicht im Netz ist. Das ist nach einem Angriff in einer Offline-Phase der Fall - bei einem regemläßigen, prophylaktischen Wechsel aber eben nicht. Wenn ein Angreifer in der Situation drin bleiben will, lässt er sich vom ersten Wechsel benachrichtigen und hat dann genügend Zeit, vor dem zweiten Wechsel zu reagieren.

 

Gruß, Nils

 

[zahni 555]

vor 12 Minuten schrieb NorbertFe:

Schön ist ja der Satz, bzw. Die Kombination der zwei aussagen:

Das schlimme ist: Das war der von Google promotete Treffer, als ich nach "golden ticket gültigkeit" gesucht habe.

Hier schreibt man übrigens einen ähnlichen Unsinn:

 

https://lsi.bayern.de/mam/aktuelles/lsi-info_t06b_domaenencontroller.pdf

 

Zitat

Ein Golden Ticket bleibt auch nach einer Passwortänderung des Benutzerkontos krbtgt noch gültig (s. Kerberos- Reset weiter unten)