Sprache:
Das Kerberos-Protokoll, das für die Sicherheit von Active Directory von zentraler Bedeutung ist, ermöglicht bestimmten Servern die Wiederverwendung der Anmeldeinformationen von Benutzern. Wenn ein Angreifer solch einen Server kompromittiert, kann er diese Anmeldeinformationen und sie verwenden, um sich bei anderen Ressourcen zu authentifizieren.
Die einzigen Konten mit uneingeschränkter Delegierung sollten die Domänencontrollerkonten sein. Administratoren sollten auch vor gefährlichen Delegierungstypen geschützt werden.
Abusing Resource-Based Constrained Delegation to Attack Active Directory
SPN-jacking: An Edge Case in WriteSPN Abuse
Get rid of accounts that use Kerberos Unconstrained Delegation
Name: Gefährliche Kerberos-Delegierung
Codename: C-UNCONST-DELEG
Schweregrad: Critical
Taktiken: TA0003 – Persistenz, TA0004 – Rechteausweitung
HarmJ0y, Elad Shamir: Rubeus