{"id":317962,"date":"2025-11-18T00:02:23","date_gmt":"2025-11-17T23:02:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=317962"},"modified":"2025-12-18T18:16:32","modified_gmt":"2025-12-18T17:16:32","slug":"kerberoasting-im-jahr-2025-so-schuetzen-sie-ihre-servicekonten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/11\/18\/kerberoasting-im-jahr-2025-so-schuetzen-sie-ihre-servicekonten\/","title":{"rendered":"Kerberoasting im Jahr 2025: So sch\u00fctzen Sie Ihre Servicekonten"},"content":{"rendered":"

\"Specops\"Werbung<\/em> \u2013\u00a0Kerberoasting bleibt ein hartn\u00e4ckiges Problem f\u00fcr IT-Profis und erm\u00f6glicht Angreifern, ihre Attacken bis in die h\u00f6chsten Ebenen eines Active Directory (AD) auszuweiten. Mit starken Passw\u00f6rtern, Verschl\u00fcsselung und klaren Sicherheitsrichtlinien k\u00f6nnen Administratoren Cyberkriminelle jedoch stoppen, bevor sie \u00fcberhaupt beginnen.<\/p>\n

<\/p>\n

Der Name Kerberoasting leitet sich von Kerberos ab – dem Authentifizierungsprotokoll, das Microsofts AD verwendet, um die Identit\u00e4t von Computern oder Benutzern zu \u00fcberpr\u00fcfen<\/a>, die Zugriff auf bestimmte Ressourcen anfordern.<\/p>\n

Die St\u00e4rke eines Kerberoasting-Angriffs liegt in seiner eskalierenden Natur. Ein Cyberkrimineller kann mit einem normalen Windows-Benutzerkonto im AD beginnen, das er \u00fcber g\u00e4ngige Angriffstechniken<\/a> wie Malware oder Phishing kompromittiert hat.<\/p>\n

Das eigentliche Ziel des Angreifers sind jedoch meist sogenannte Servicekonten<\/a>, die \u00fcber ihren Service Principal Name (SPN) identifiziert werden. Diese Konten werden zum Ausf\u00fchren von Windows-Diensten genutzt und in der Regel nicht von Endnutzern verwendet.\u00a0Servicekonten sind besonders attraktiv, da sie h\u00e4ufig weitreichende Berechtigungen besitzen – teilweise sogar Domain-Administratorrechten.<\/p>\n

Fahrkarte ins Ungl\u00fcck<\/h2>\n

Wie also gelingt der Sprung vom normalen Benutzerkonto zum Servicekonto? Die Schwachstelle liegt im Ticket-Vergabesystem des Protokolls.\u00a0Das Kerberos-Protokoll \u00fcbertr\u00e4gt den Authentifizierungsstatus eines Benutzers \u00fcber sogenannte Service Tickets.<\/a> Jeder AD-Benutzer kann beim Ticket Granting Service (TGS) Tickets f\u00fcr beliebige Servicekonten im AD anfordern. Das bedeutet: Ein Angreifer kann mit dem kompromittierten Benutzerkonto ein Service-Ticket f\u00fcr ein bestimmtes SPN anfordern.<\/p>\n

Solche Konten lassen sich leicht mit frei verf\u00fcgbaren Open-Source-Tools wie GetUserSPNs.py<\/em> von SecureAuth oder Rubeus<\/em> von GhostPack identifizieren. Diese Tools k\u00f6nnen zudem g\u00fcltige Tickets f\u00fcr die jeweiligen Servicekonten anfordern.<\/p>\n

Das Ticket wird mit dem Hash des Passworts des Zielkontos verschl\u00fcsselt – also des Passworts, das an das SPN gebunden ist. Der Angreifer exportiert dieses Ticket und f\u00fchrt offline Brute-Force-Angriffe<\/a> durch, um den Passwort-Hash zu knacken. Gelingt das, erh\u00e4lt er vollst\u00e4ndigen Zugriff auf das Servicekonto – und kann seine Privilegien weiter ausbauen.<\/p>\n

Passwort-Priorit\u00e4ten<\/h2>\n

All dies w\u00e4re nicht m\u00f6glich, wenn Konten richtig gesch\u00fctzt w\u00e4ren: Selbst wenn ein Angreifer ein Ticket erbeutet und offline analysiert, w\u00fcrden starke Verschl\u00fcsselung<\/a> und komplexe Passw\u00f6rter<\/a> seine Angriffe ins Leere laufen lassen.<\/p>\n

Ein erster Schritt ist daher, die Passwortsicherheit zu pr\u00fcfen und sicherzustellen, dass alle Kennw\u00f6rter auch in einer Welt des Kerberoasting bestehen k\u00f6nnen.\u00a0Tools wie der Specops Password Auditor<\/a> k\u00f6nnen hier eine zentrale Rolle spielen, indem sie das AD – auf drei Ebenen<\/a> – auf passwortbezogene Schwachstellen scannen:<\/p>\n

    \n
  1. AD-Konten pr\u00fcfen<\/strong>: \u00dcberpr\u00fcfen Sie Benutzerkonten auf 1 Milliarde bekannte kompromittierte Passw\u00f6rter, identifizieren Sie schwache Kennw\u00f6rter und finden Sie veraltete oder inaktive privilegierte Konten.<\/li>\n
  2. Risikoanalyse mit Passwortberichten<\/strong>: Stellen Sie sicher, dass Ihre Richtlinien die Benutzer zu sicheren Passw\u00f6rtern verpflichten. Finden Sie Konten mit abgelaufenen, identischen oder leeren Passw\u00f6rtern und bewerten Sie, wie effektiv Ihre Richtlinien Brute-Force-Angriffe verhindern.<\/li>\n
  3. Richtlinien an Compliance-Standards ausrichten<\/strong>: Vergleichen Sie Ihre Passwort-Richtlinien<\/a><\/u> mit bew\u00e4hrten Standards und pr\u00fcfen Sie, ob Sie mit aktuellen Cybersecurity- und Datenschutzanforderungen konform sind.<\/li>\n<\/ol>\n

    \"Specops<\/a>
    \nSpecops Passwort-Auditor; Quelle: Specops<\/p>\n

    Erkennung bleibt schwierig<\/h2>\n

    Die Ausf\u00fchrungen in obigem Text zeigen, dass Angreifer durch die AD-Architektur schnell h\u00f6here Berechtigungen erlangen k\u00f6nnen. Doch ein weiteres Problem ist die Erkennung: Kerberoasting-Angriffe sind oft schwer zu identifizieren – selbst w\u00e4hrend sie stattfinden.<\/p>\n