Articles / Pourquoi je ne mets jamais « Reset KRBTGT » dans mes préconi

Pourquoi je ne mets jamais « Reset KRBTGT » dans mes préconisations de pentest

ump — Un mot de passe pourri backfill 2025-12-02 · Voir sur Substack ↗

Pas d'image extraite du Substack pour cet article. Les posts seront publiés sans image.
← Retour
📢 Tweet Teaser posted
277 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

J'ai fait 50 pentests AD. PingCastle crie "Reset KRBTGT !" à chaque fois. Je ne le mets jamais en prio. Pourquoi ? Parce que si l'attaquant a dumpé NTDS, c'est déjà mort. Voici ce qui compte vraiment. https://unmotdepassepourri.substack.com/p/changer-le-mot-de-passe-du-compte

📅 26/05 à 19h55 dans 2j
✓ Publié 26/05 à 19h55
🧵 Thread posted
1798 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/8

1/ J'ai fait ~50 pentests AD ces dernières années. À chaque fois, PingCastle me sort : "Changez le mot de passe KRBTGT". À chaque fois, je ne le mets pas dans mes précos prioritaires. Voici pourquoi.

2/8

2/ Pour forger un Golden Ticket, il faut dumper NTDS.dit. Si vous avez NTDS, vous avez TOUS les hash de l'entreprise. Le client est déjà compromis. Le Golden Ticket devient anecdotique à ce stade — c'est le dump complet qui est le problème, pas un hash en particulier.

3/8

3/ Pour dumper KRBTGT, il faut déjà être admin de domaine. Autrement dit : l'attaquant a déjà contourné tout ce qui précède (comptes, services, GPO...). S'il a ces droits, il a 10 autres façons de persister, plus simples et plus discrètes.

4/8

4/ Ce que je vois vraiment en pentest : LAPS absent, mots de passe faibles/en clair dans des scripts, Kerberoasting trivial, comptes de service non inventoriés, délégations inutiles. Ces soucis sont présents dans 90% des environnements.

5/8

5/ Changer KRBTGT est une réponse d'incident, pas une mesure préventive. Ça fait partie d'un plan IR complet (investigation, suppression des persistances), mais ne nettoie pas tout seul.

6/8

6/ Mes 5 priorités absolues : 1) Déployer LAPS partout 2) Auditer/corriger les comptes de service 3) Nettoyer les privilèges (moins d'admins de domaine) 4) Durcir les GPO 5) Monitorer les comportements anormaux (Kerberoasting, DCSync).

7/8

7/ Reset KRBTGT ? Oui, lors d'un incident avéré. Mais en préventif, c'est du bruit qui masque les vrais problèmes. Les attaquants n'ont jamais besoin d'un Golden Ticket pour entrer — ils exploitent ce qui est cassé avant.

8/8

8/ Voici pourquoi je ne mets jamais "Reset KRBTGT" dans mes préconisations de pentest — et ce que je recommande à la place : https://unmotdepassepourri.substack.com/p/changer-le-mot-de-passe-du-compte

📅 08/09 à 12h00 dans 107j
✓ Publié 08/09 à 12h00
💡 Standalone #1 posted
213 chars
Sans lien · Matin 7h30–9h · 70% du mix

Pour forger un Golden Ticket, il faut dumper NTDS. Si vous avez NTDS, vous avez tous les hash de l'entreprise. Le Golden Ticket devient anecdotique. Le problème, c'est le dump complet — pas un hash en particulier.

📅 27/07 à 08h38 dans 64j
✓ Publié 27/07 à 08h38
💬 Standalone #2 posted
221 chars
Sans lien · Matin 7h30–9h · 70% du mix

Changer le mot de passe KRBTGT est une réponse d'incident, pas une mesure préventive. Ça ne nettoie rien tout seul. Et si l'attaquant a les droits pour le dumper, il a déjà 10 autres façons de persister plus discrètement.

📅 10/09 à 08h23 dans 109j
✓ Publié 10/09 à 08h23
🔥 Provoc posted
263 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

PingCastle crie "Reset KRBTGT !" sur tous les rapports. Résultat ? Les DSI perdent du temps sur un non-sujet pendant que LAPS est absent, les comptes de service ont des passwords en clair, et les admins de domaine sont partout. On fait du théâtre, pas de la sécu.

📅 14/09 à 19h37 dans 113j
✓ Publié 14/09 à 19h37