【安全资讯】2025年Kerberoasting攻击持续威胁企业服务账户安全

概要：

随着企业数字化转型加速，Active Directory环境中的Kerberoasting攻击已成为2025年网络安全领域的持续威胁。这种利用Kerberos认证协议缺陷的攻击手段，能让攻击者通过权限提升获取域管理员权限，对关键基础设施构成严重风险。

主要内容：

Kerberoasting攻击的核心在于利用Active Directory的Kerberos认证机制漏洞。攻击者首先通过钓鱼或恶意软件获取普通用户账户权限，随后使用GetUserSPNs.py或Rubeus等开源工具识别配置了服务主体名称(SPN)的服务账户。

攻击者通过票证授予服务(TGS)获取使用目标账户密码哈希加密的服务票据，随后离线实施暴力破解。服务账户之所以易受攻击，主要因为其常采用弱加密算法（如RC4）和简单密码，且通常具有跨服务的高权限访问能力。

这种攻击难以检测的特征体现在三个方面：密码破解过程完全离线进行；无需依赖恶意软件即可实施；攻击者使用合法账户凭证可规避传统安全监测。根据Verizon数据泄露报告，近44.7%的安全事件涉及凭证窃取。

防护措施包括采用25字符以上的复杂密码、部署组托管服务账户(gMSAs)实现自动密码管理、优先使用AES加密算法，以及实施多因素认证。企业可通过Specops Password Auditor等工具定期审计域账户密码，有效阻断超过40亿个已知泄露密码的使用。