Cada cuenta Kerberoasteable, objetivo de AS-REP y ruta DCSync en tu dominio, encontrada y probada.
ADscan identifica la superficie de ataque de credenciales en tu Active Directory, ejecuta cada técnica soportada y entrega exposición verificada en lugar de una lista de vulnerabilidades potenciales. Kerberoasting, AS-REP roasting, pulverización de contraseñas y DCSync, validados y mapeados a DORA.
La exposición de credenciales en Active Directory es el conjunto de condiciones que permite a un atacante solicitar, crackear o abusar de tickets Kerberos y credenciales de servicio sin necesidad de elevar privilegios previamente. ADscan mapea y ejecuta las cuatro familias principales: Kerberoasting, AS-REP roasting, pulverización de contraseñas y DCSync, registrando cada una como probada cuando tiene éxito o teórica cuando se detecta pero no se alcanza.
82%
Las cuentas de servicio Kerberoasteables existen en prácticamente todos los Active Directory. La mayoría se crearon hace años, antes de que se comprendiera el riesgo, y rotan sus contraseñas con poca frecuencia o nunca. Un atacante con cualquier cuenta de dominio válida puede solicitar un ticket de servicio Kerberos para cada una y llevárselo offline para crackearlo. Una contraseña débil o compartida significa Domain Admin en cuestión de minutos. El mismo problema se repite con AS-REP: las cuentas con la preautenticación Kerberos desactivada entregan su hash a cualquiera que lo solicite. Sin exploit, sin herramienta especial, sin acceso elevado.
Aviso CISA AA23-352A, 2023 — cuentas de servicio con SPN configurado en dominios analizados
- 01
Enumerar la superficie de credenciales
Recolecta todas las cuentas con SPNs (objetivos de Kerberoasting), todas las cuentas sin preautenticación Kerberos (objetivos de AS-REP) y todas las cuentas con derechos equivalentes a DCSync en el objeto de dominio.
- 02
Solicitar y recuperar tickets
Solicita tickets de servicio para cuentas Kerberoasteables y hashes AS-REP para cuentas sin preautenticación, exactamente como lo haría un atacante desde cualquier posición unida al dominio.
- 03
Intentar crackeo offline
Ejecuta los hashes recuperados contra una lista de contraseñas comunes. Los resultados son honestos: las contraseñas crackeadas son exposición probada; los hashes que no se crackearon en la ventana de prueba se marcan como exposición presente pero no crackeada.
- 04
Validar rutas DCSync
Identifica las cuentas con derechos "Replicar cambios de directorio" en el objeto de dominio y valida si DCSync es ejecutable desde el contexto de prueba actual.
- 05
Intentar pulverización de contraseñas
Prueba el dominio con una pulverización de bajo volumen con contraseñas comunes, consciente de la política de bloqueo y sin riesgo de bloquear cuentas, para identificar cuentas con credenciales predecibles o por defecto.
- 06
Mapear e informar
Cada hallazgo de credencial probado se vincula a la ruta que habilita (p. ej. un SPN Kerberoasteado lleva a movimiento lateral hacia Domain Admin) y se mapea a los controles de DORA, NIS2 y ENS Alto.
Kerberoasting y AS-REP roasting, ejecutados
ADscan solicita tickets de servicio y hashes AS-REP de forma nativa, intenta el crackeo offline e informa qué cuentas son comprometibles de forma probada frente a las solo detectadas. No es un escaneo de mala configuración: es un ataque de credenciales real.
Validación de ruta DCSync
ADscan identifica cada cuenta o grupo con derechos de replicación en el objeto de dominio y valida si el ataque DCSync es ejecutable desde el contexto actual, produciendo el volcado de hash como prueba cuando tiene éxito.
Pulverización de contraseñas con seguridad de bloqueo
Pulverización de bajo volumen y consciente de la política que lee la política de bloqueo del dominio antes de hacer cualquier intento. Identifica cuentas con contraseñas predecibles sin provocar bloqueos de cuentas en producción.
Encadenado en la ruta de ataque
Una credencial de cuenta de servicio crackeada o un hash DCSync no es un hallazgo aislado: ADscan continúa la cadena y muestra qué ruta a Domain Admin desbloquea esa credencial, conectando la exposición de credenciales con el impacto en Tier 0.
Preparación para Golden Ticket vía DCSync
Cuando DCSync tiene éxito y se recupera el hash de krbtgt, ADscan marca la preparación para Golden Ticket: la condición bajo la cual un atacante puede falsificar cualquier ticket Kerberos del dominio indefinidamente.
Hallazgos de credenciales mapeados a cumplimiento
Cada hallazgo de credencial probado se mapea al requisito específico de protección del Artículo 9.4 de DORA, la medida de control de acceso del Artículo 21 de NIS2 y el control de identidad de ENS Alto, con citas legales adjuntas.
Mapeado al control por el que pregunta tu supervisor.
El Kerberoasting y el DCSync se encuentran entre las técnicas más citadas en la guía de implementación técnica del Artículo 9.4 de DORA (UE 2024/1774), que exige a las entidades proteger las cuentas privilegiadas y las credenciales de servicio. El Artículo 21(2)(i) de NIS2 exige medidas de autenticación y control de acceso que cubren directamente la preautenticación y los derechos de replicación. ENS Alto exige la validación continua de los controles de identidad y acceso. ADscan vincula cada hallazgo de credencial probado al control específico con su cita legal, de modo que el informe es evidencia de cumplimiento, no solo un registro técnico.
La CLI open source de ADscan enumera las cuentas Kerberoasteables, los objetivos de AS-REP y los derechos DCSync, solicita tickets y hashes, e intenta el crackeo. Todas las técnicas están disponibles en el motor gratuito, sin necesidad de licencia.
Añade el informe PDF ejecutivo con la narrativa de exposición de credenciales, la ordenación de remediación por cuenta y el mapeo de cumplimiento a DORA, NIS2 y ENS con citas legales. Gratis en beta para consultoras y MSSPs. La plataforma Enterprise añade revalidación programada y alertas cuando aparecen nuevas cuentas Kerberoasteables.
Explora el resto de la plataforma.
En todos los entornos regulados donde hemos ejecutado ADscan, al menos una cuenta de servicio Kerberoasteable tenía una contraseña lo suficientemente débil como para crackearla en la ventana de prueba.
Preguntas, respondidas.
¿Qué es Kerberoasting?
Kerberoasting es un ataque en Active Directory en el que cualquier usuario de dominio autenticado solicita un ticket de servicio Kerberos para cualquier cuenta con un nombre principal de servicio (SPN) configurado. El ticket está cifrado con el hash de la contraseña de la cuenta de servicio y puede llevarse offline para crackearlo. Si la contraseña es débil, el atacante recupera una credencial en texto plano para esa cuenta. El ataque no requiere derechos elevados ni herramientas especiales, solo una cuenta de dominio válida.
¿Qué es AS-REP roasting y en qué se diferencia del Kerberoasting?
El AS-REP roasting ataca las cuentas con la preautenticación Kerberos desactivada (la opción "No requerir preautenticación Kerberos" en Active Directory). Con la preautenticación desactivada, el controlador de dominio responde a una solicitud de autenticación con un mensaje AS-REP cifrado con el hash de la contraseña de la cuenta, sin verificar primero la identidad del solicitante. La diferencia con el Kerberoasting: el Kerberoasting requiere una cuenta de dominio válida para solicitar un ticket de servicio; el AS-REP roasting se puede intentar sin ninguna credencial, solo con una lista de nombres de usuario.
¿Qué es DCSync y por qué es peligroso?
DCSync es una técnica de ataque que abusa del protocolo de replicación de Active Directory. Cualquier cuenta con el derecho "Replicar todos los cambios de directorio" en el objeto de dominio puede hacerse pasar por un controlador de dominio y solicitar una copia del hash de la contraseña de cualquier cuenta, incluida la cuenta krbtgt. Recuperar el hash de krbtgt significa que un atacante puede falsificar cualquier ticket Kerberos del dominio indefinidamente (un Golden Ticket). DCSync es silencioso en la mayoría de los entornos: no hay bloqueo, no hay inicio de sesión fallido, y la configuración de auditoría predeterminada no registra las solicitudes de replicación de máquinas que no son DC.
¿Cómo detecta ADscan la exposición de credenciales?
ADscan recolecta los atributos de las cuentas del dominio de forma nativa, sin agente, identifica las cuentas con SPNs, las cuentas sin preautenticación y las cuentas con derechos de replicación. A continuación, ejecuta cada técnica: solicita tickets y hashes, intenta el crackeo offline con una lista de contraseñas comunes y valida DCSync desde el contexto de prueba. Los resultados son explícitos: probado significa que ADscan crackeó el hash o ejecutó el DCSync; teórico significa que la mala configuración existe pero no se explotó en la ventana de prueba.
¿Qué es un ataque Golden Ticket?
Un Golden Ticket es un Ticket Granting Ticket (TGT) de Kerberos falsificado firmado con el hash de la cuenta krbtgt. Como todos los tickets Kerberos del dominio se validan en última instancia contra la clave krbtgt, un atacante que tenga ese hash puede emitir un TGT para cualquier usuario, cualquier pertenencia a grupo y cualquier periodo de validez, incluso los que no existen. Los Golden Tickets sobreviven a los restablecimientos de contraseñas en otras cuentas, y la única remediación real es rotar la contraseña de krbtgt dos veces. ADscan marca la preparación para Golden Ticket cuando DCSync tiene éxito y se recupera el hash de krbtgt.
¿ADscan prueba la exposición de credenciales en cumplimiento con DORA?
Sí. El Artículo 9.4 de DORA (tal como se desarrolla en las Normas Técnicas de Regulación UE 2024/1774) exige a las entidades TIC proteger las cuentas privilegiadas y las credenciales de servicio. ADscan mapea cada hallazgo probado de Kerberoasting, AS-REP y DCSync al requisito específico del Artículo 9.4, con la cita legal y la remediación concreta, de modo que el resultado es evidencia de cumplimiento en lugar de un informe técnico independiente.
Descubre qué ruta a Domain Admin tienes hoy.
Pide una evaluación y ejecutaremos ADscan contra tu Active Directory, y luego entregamos el informe mapeado a cumplimiento.