V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыДокументация
← Вернуться к списку
T1558Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Кража или подделка билетов Kerberos

Злоумышленники могут пытаться подорвать аутентификацию Kerberos, крадя или подделывая билеты Kerberos для обеспечения передачи билета. Kerberos — это протокол аутентификации, широко используемый в современных доменных средах Windows. В средах Kerberos, называемых «областями» (realms), существуют три основных участника: клиент, служба и центр распределения ключей (KDC). Клиенты запрашивают доступ к службе, и через обмен билетами Kerberos, исходящими от KDC, им предоставляется доступ после успешной аутентификации. KDC отвечает как за аутентификацию, так и за выдачу билетов. Злоумышленники могут пытаться злоупотребить Kerberos, крадя билеты или подделывая билеты для обеспечения несанкционированного доступа. В Windows встроенная утилита klist может использоваться для перечисления и анализа кэшированных билетов Kerberos.

Тактики

Получение учетных данных

Подтехники

T1558.001
Золотой билет
T1558.002
Серебряный билет
T1558.003
Kerberoasting
T1558.004
AS-REP Roasting
T1558.005
Файлы ccache

Платформы

LinuxmacOSWindows

Меры защиты

M1015
Настройка Active Directory
M1026
Управление привилегированными учётными записями
M1027
Парольные политики
M1041
Шифрование чувствительных данных
M1043
Защита от получения учётных данных
M1047
Аудит
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

CAPEC-652
Использование известных учётных данных Kerberos

Затронутые уязвимости (выводимые)

CVE-2025-54863Radiometrics VizAir уязвим для воздействия клавиши REST API системы через общедоступный конфигурационный файл. Это позволяет злоумышленникам удаленно изменять данные о погоде и конфигурации, автоматизировать атаки против нескольких случаев и извлекать конфиденциальные метеорологические данные, которые потенциально могут скомпрометировать операции аэропорта. Кроме того, злоумышленники могут наводнить систему ложными оповещениями, что приводит к состоянию отказа в обслуживании и значительным сбоям в работе аэропорта. Несанкционированный дистанционный контроль авиационного мониторинга погоды и манипулирование данными может привести к неправильному планированию полетов и опасным условиям взлета и посадки.
CVE-2025-49752Azure Bastion Возвышение привилегий Уязвимости
CVE-2024-12799Уязвимость недостаточно защищенных учетных данных в OpenText Identity Manager Advanced Edition на Windows, Linux, 64 бит позволяет злоупотребление привилегиями. Эта уязвимость может позволить аутентифицированному пользователю получить конфиденциальную информацию более привилегированного пользователя через специально подготовленный полезный груз. Эта проблема затрагивает Identity Manager Advanced Edition: с 4.8.0.0 до 4.8.7.0102, 4.9.0.0.
CVE-2025-0867Обычный пользователь использует функцию запуска как для запуска приложений MEAC с административными привилегиями. Для обеспечения автоматического запуска системы учетные данные администратора были сохранены. В результате пользователь EPC2 может выполнять любые команды с административными привилегиями. Это позволяет повысить привилегии до уровня администратора.
CVE-2021-36783Уязвимость, связанная с недостаточно защищенными учетными данными в SUSE Rancher, позволяет аутентифицированным владельцам кластеров, членам кластеров, владельцам проектов и членам проектов читать учетные данные, пароли и токены API, которые были сохранены в виде открытого текста и предоставлены через конечные точки API. Эта проблема затрагивает: SUSE Rancher Rancher версии до 2.6.4; Rancher версии до 2.5.13.
CVE-2019-1384Существует уязвимость обхода функции безопасности, при которой сообщение NETLOGON может получить ключ сеанса и подписывать сообщения. Чтобы воспользоваться этой уязвимостью, злоумышленник может отправить специально созданный запрос аутентификации, также известная как «Уязвимость обхода функции безопасности Microsoft Windows».
CVE-2026-8760Логин с OTP-плагин для WordPress уязвим для обхода аутентификации во всех версиях до 1,6. Это связано с неполным исправлением для CVE-2024-11178: проверка, добавленная к `otpl_login_action()`, была размещена только внутри ветки ОПТ-поколения и никогда не оценивается на ветке OTP-валидации, а сгенерированный 6-значный OTP также не истекает. Это позволяет неаутентифицированным злоумышленникам грубо принуждать к ОПТ-пространству с 900,000 значений для любой учетной записи пользователя (включая администраторов) и получить действующую `wp_set_auth_cookie()` сессию, что приведет к полному компромиссу сайта.
CVE-2026-43914Vaultwarden - это сервер, совместимый с Bitwarden, написанный на Rust. До 1.35.4 в Vaultwarden есть уязвимость безопасности, которая позволяет обойти защиту от силы логина, если включена электронная почта 2fa. Если электронная почта 2fa включена, незащищенная 2fa-функция send_email_login (email.rs, api endpoint /api/two-factor/send-email-login) также действует как оракул, определяющий, верна ли комбинация имя-пароль пользователя. Нападающий может злоупотреблять этой конечной точкой паролей грубой силы без ограничения скорости. Это работает даже для пользователей, у которых нет настроенной электронной почты 2fa. Эта уязвимость фиксируется в разделе 1.35.4.
CVE-2026-23658Недостаточно защищенные учетные данные в Azure DevOps позволяют несанкционированному злоумышленнику повысить привилегии над сетью.
CVE-2026-22278Версии Dell PowerScale OneFS до 9.13.0.0 содержат неправильную уязвимость попыток аутентификации. Неаутентифицированный злоумышленник с удаленным доступом потенциально может использовать эту уязвимость, что приведет к несанкционированному доступу.
CVE-2025-7393Модуль Mail Login для Drupal содержит уязвимость обхода защиты от атак перебора, позволяющую злоумышленникам обойти защиту и потенциально получить доступ к учетной записи. Рекомендуется обновить модуль до версии 3.2.0 или 4.2.0 [1]. Источники: - [1] https://www.drupal.org/sa-contrib-2025-088
CVE-2025-67135Слабая безопасность в брелоке PF-50 1.2 системы оповещений PGST PG107.hf позволяет злоумышленникам скомпрометировать контроль доступа с помощью атаки воспроизведения кода.
CVE-2025-65552Система домашней безопасности D3D Wi-Fi ZX-G12 v2.1.1 уязвима для радиочастотных атак на канал связи датчика 433 МГц. Система не реализует скользящие коды, аутентификацию сообщений или защиту от воспроизведения, что позволяет злоумышленнику в пределах диапазона RF записывать действительные рамки сигнализации/контроля и воспроизводить их для запуска ложных тревог.
CVE-2025-63807Проблема была обнаружена в weijiang1994 университет-bbs (он же Blogin) в купи 9e06bab430bfc729f27b4284ba7570db3b11ce84 (2025-01-13). Слабый механизм генерации проверочных кодов в сочетании с ограничением скорости пропуска позволяет злоумышленникам выполнять атаки грубой силы на проверочные коды без аутентификации. Успешная эксплуатация может привести к поглощению учетной записи с помощью сброса пароля или других методов обхода аутентификации.
CVE-2025-58587Приложение не реализует достаточные меры для предотвращения нескольких неудачных попыток аутентификации в течение короткого периода времени, что позволяет злоумышленнику угадывать учетные данные пользователя.
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.