O Kerberoasting continua sendo um dos métodos preferidos de agentes maliciosos para movimentação lateral dentro de ambientes corporativos. Embora não seja um vetor de entrada, a ameaça representa um risco elevado em redes Windows com Active Directory mal configuradas – especialmente onde há uso de contas de serviço com senhas fracas, ausência de rotação de credenciais e criptografia legada habilitada.

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga

De acordo com a ISH Tecnologia, o método já é adotado por grupos de APTs (ameaças persistentes avançadas), além de ser amplamente utilizado por equipes de Red Teaming em simulações ofensivas internas.

O Kerberoasting explora o funcionamento normal do protocolo Kerberos, responsável por autenticar usuários e serviços em redes corporativas. Nessa técnica, o invasor solicita o chamado ticket de serviço (TGS), que funciona como uma “chave de acesso” criptografada com a senha da conta de serviço.

Mesmo sem saber essa senha, é possível capturar o ticket e tentar descobrir a senha real fora da rede, usando programas que testam milhões de combinações – um processo conhecido como força bruta. Com a senha em mãos, o criminoso pode se passar por um serviço legítimo e circular livremente pela rede, acessando dados e sistemas críticos.

O grande perigo do Kerberoasting é justamente parecer legítimo. A solicitação de tickets está dentro do fluxo normal do protocolo Kerberos, o que dificulta alertas automatizados. Muitas empresas não percebem que foram alvos até que o dano esteja feito.

No Brasil, setores com grande volume de serviços legados, como governo, saúde, educação e finanças, são especialmente vulneráveis. Ambientes com domínios extensos, heranças de Active Directory mal mantidas e pouca visibilidade operacional estão entre os alvos mais explorados, segundo o boletim.

Não quer perder as últimas notícias de tecnologia? Siga o perfil do 33Giga no Instagram e no Bluesky

As equipes de Threat Intelligence da ISH propõem um conjunto de ações técnicas e operacionais para mitigar esse vetor:

• Fortalecer contas de serviço: exigir senhas com ao menos 25 caracteres e complexidade elevada, além de implementar rotação periódica automatizada;
• Reduzir a superfície de ataque: revisar e eliminar SPNs obsoletos, evitar o uso de contas padrão como contas de serviço, e aplicar o princípio do menor privilégio;
• Desabilitar criptografias fracas: como RC4-HMAC, preferindo algoritmos modernos como AES-128 e AES-256;
• Ativar auditorias e hunting proativo: especialmente o evento 4769 no log de segurança do Windows, focando em solicitações suspeitas com criptografia RC4 ou geração massiva de tickets.