Sprache:
Das Kerberos-Protokoll, das für die Sicherheit von Active Directory von zentraler Bedeutung ist, ermöglicht bestimmten Servern die Wiederverwendung der Anmeldeinformationen von Benutzern. Wenn ein Angreifer solch einen Server kompromittiert, kann er diese Anmeldeinformationen und sie verwenden, um sich bei anderen Ressourcen zu authentifizieren.
Die einzigen Konten mit uneingeschränkter Delegierung sollten die Domänencontrollerkonten sein. Administratoren sollten auch vor gefährlichen Delegierungstypen geschützt werden.
Get rid of accounts that use Kerberos Unconstrained Delegation
Abusing Resource-Based Constrained Delegation to Attack Active Directory
Name: Gefährliche Kerberos-Delegierung
Codename: C-UNCONST-DELEG
Schweregrad: Critical
Taktiken: TA0003 – Persistenz, TA0004 – Rechteausweitung
HarmJ0y, Elad Shamir: Rubeus