Detecciones

Indicadores

Información general

Indicadores de ataque

Indicadores de exposición

Último cambio de contraseña en la cuenta KRBTGT

high

Idioma:

Descripción

Cada dominio de Active Directory tiene una cuenta fundamental llamada KRBTGT que protege el secreto maestro de todos los demás secretos del dominio, lo que la hace vital para proteger esta cuenta a toda costa y evitar ataques como “Golden Ticket”.

Solución

Microsoft admite totalmente la operación especial de cambiar la contraseña de la cuenta KRBTGT.

Consulte también

KRBTGT Account Password Reset Scripts now available for customers

Kerberos & KRBTGT: Active Directory's Domain Kerberos Service Account

Reset the krbtgt account password/keys

Windows Hello Cloud Trust

Obtaining Domain Admin from Azure AD by abusing Cloud Kerberos Trust

Detalles del indicador

Nombre: Último cambio de contraseña en la cuenta KRBTGT

Nombre en clave: C-KRBTGT-PASSWORD

Gravedad: High

Tipo: Active Directory Indicator of Exposure

Family: Cuentas privilegiadas

Información de MITRE ATT&CK:

Táctica: TA0004 - Privilege Escalation (texto en inglés)
- Técnicas: T1078 - Valid Accounts (texto en inglés)
Táctica: TA0003 - Persistence (texto en inglés)

Herramientas conocidas de atacantes

Gentil Kiwi: mimikatz