Esta publicação foi atualizada pela última vez em fevereiro de 2026.
A delegação Kerberos foi originalmente concebida como um aprimoramento de segurança – uma forma de permitir que aplicativos se autentiquem com segurança em nome dos usuários ao acessar recursos. A representação como parte de autenticação Não é inerentemente ruim; na verdade, é uma resposta elegante para um problema antigo: como permitir que os aplicativos acessem recursos somente quando realmente precisam, limitando o escopo dos dados que podem alcançar. Por exemplo, um serviço de front-end que atua em nome de um usuário para chamar uma API de back-end reflete um uso legítimo e bem controlado desse mecanismo.
Com a evolução dos ambientes empresariais, essa abordagem tornou-se um padrão para a forma como os aplicativos interagem com os recursos. Kerberos A delegação introduziu uma forma estruturada e segura para que os serviços estendessem o acesso do usuário somente quando necessário, mantendo a integridade da autenticação em sistemas complexos. Mas, ao mudar o local onde reside a confiança, também expandiu o próprio cenário, criando mais áreas para que pesquisadores explorem possíveis vulnerabilidades e para que adversários interfiram, manipulem ou abusem da confiança de novas maneiras.
O abuso da delegação Kerberos pode, portanto, ser perigoso se cair em mãos erradas... por exemplo, e se um atacante encontrar uma maneira de se inserir no caminho de delegação e se passar pelo usuário para acessar recursos sensíveis? Ou, ainda mais grave, e se o invasor descobrir uma maneira de se passar por um usuário diferente, talvez com mais privilégios do que o pretendido?
Eliran Partush, pesquisador de segurança em Silverfort, examinou exatamente esse conceito em sua pesquisa mais recente e forneceu uma análise técnica completa em seu relatório técnico, “CVE-2025-60704: Falhas de validação no Windows Kerberos S4U: da transição de protocolo à escalada de privilégios.
No relatório técnico, Eliran descreve A vulnerabilidade CVE-2025-60704, que explora uma condição de elevação de privilégios do Kerberos no Windows, surge de múltiplas falhas de validação nos fluxos S4U2Self e S4U2Proxy. As fragilidades concentram-se na forma como a identidade S4U é criptograficamente vinculada a uma solicitação e como o cliente valida a integridade das respostas do KDC nos modos de acesso legados.
Acesse diretamente o whitepaper técnico abaixo ou continue lendo para obter uma visão geral da pesquisa apresentada na Black Hat EU em Londres, em dezembro de 2025.
Artigo técnico
CVE-2025-60704: Falhas de Validação no Kerberos S4U do Windows: Da Transição de Protocolo à Escalada de Privilégios
Leia agora
Descoberta de CVE
Como parte de uma divulgação responsável, nossa equipe de pesquisa relatou a vulnerabilidade de delegação restrita do Kerberos à Microsoft, e em 11 de novembro de 2025 eles lançaram uma atualização como parte do Patch Tuesday, onde a vulnerabilidade recebeu uma pontuação CVSS de 7.5. Usando a técnica Man-in-the-Middle, essa falha nos permitiu personificar usuários arbitrários e, por fim, obter controle sobre todo o domínio.
Por que a vulnerabilidade CVE-2025-60704 é importante?
O Kerberos é um protocolo de múltiplas camadas e pode ser complexo de entender inicialmente; envolve múltiplas trocas de mensagens, tickets criptografados e chaves de sessão. A delegação adiciona outra camada à complexidade, com vários modelos disponíveis: irrestrito, restrito e baseado em recursos (RBCD). Isso ajuda a estender os limites de confiança entre os serviços. Uma última camada que aumenta a complexidade é que Delegação de Kerberos Também pode interagir com outros tipos de autenticação. O principal objetivo do Kerberos é permitir que um aplicativo autentique um usuário.
A delegação será sempre uma consideração importante na cibersegurança por um motivo principal: A capacidade de se passar pela identidade de um usuário é um alvo atraente para os atacantes. Não importa se sua organização é nativa da nuvem ou se você possui aplicativos de missão crítica construídos exclusivamente em arquiteturas legadas. O conceito permanece o mesmo: um aplicativo que age em nome da identidade de um usuário pode ser poderoso se usado de forma abusiva.
Conforme nossa equipe iniciou a pesquisa, buscamos maneiras de contornar os mecanismos de segurança do protocolo de delegação Kerberos. Foi então que algo interessante surgiu: no Kerberos Constrained Delegation (KCD), o protocolo possuía alguns mecanismos que nos permitiam não apenas nos passar por um usuário ao qual tínhamos acesso, mas também escalar privilégios e muito mais. Poderíamos explicar melhor, mas isso fica para a palestra.
O impacto da vulnerabilidade CVE-2025-60704 caso seja explorada.
Frequentemente, pensamos em ameaças à identidade como algo relacionado ao acesso à identidade visada (seja ela humana ou não humana, como um...). conta de serviço) e então ver o que é possível fazer usando as permissões dessa identidade. Raramente pensamos em termos de obter acesso e, em seguida, sermos capazes de mudar completamente quem nos tornamos para outra pessoa.
O impacto disso é claro: qualquer organização que utilize Active Directory, com a capacidade de delegação Kerberos ativada, é afetada. Isso significa que milhares de empresas em todo o mundo são afetadas por essa vulnerabilidade. Como a delegação Kerberos é um recurso dentro Active DirectoryUm atacante precisa de acesso inicial a um ambiente com credenciais comprometidasUma vez explorada a vulnerabilidade, os atacantes podem escalar privilégios e se movimentar lateralmente para outras máquinas na organização. Pior ainda, eles também podem obter a capacidade de se passar por qualquer pessoa na empresa, desbloqueando acesso ilimitado ou até mesmo se tornando administradores de domínio.
A exploração da vulnerabilidade CVE-2025-60704 faria parte de uma estratégia de longo prazo, que inclui roubo de propriedade intelectual ou dados pessoais, falsificação de identidade, ransomwareE muito mais.
Mitigando a vulnerabilidade CVE-2025-60704
O Kerberos tem sido considerado, durante décadas, a espinha dorsal de autenticação empresarialNo entanto, mesmo os protocolos de segurança mais bem elaborados podem ser silenciosamente comprometidos e explorados. Então, o que as equipes de segurança devem fazer?
Para qualquer empresa que utilize Active Directory, nós recomendamos Eles corrigem essa vulnerabilidade. o mais rápido possível. Se a aplicação de patches não for uma opção no momento, configure um alerta em seu ITDR Solução para monitorar todas as delegações restritas do Kerberos.
Palestra de Eliran Partush na Black Hat EU em Londres.
Se você participou da Black Hat em Londres, nós abordamos tudo:
- Onde a pesquisa começou e como nossa equipe de pesquisa descobriu o CVE.
- Como um mecanismo projetado para tornar sua infraestrutura mais segura expande seu superfície de ataque.
- O comportamento do protocolo, as suposições de confiança e uma leve engenharia reversa das entranhas do Windows nos ajudaram a rastrear a falha até sua origem.
- Estratégias de mitigação e como proteger melhor os ambientes que dependem da delegação Kerberos.
Em breve, estará disponível um vídeo sob demanda da palestra, e o link será incluído nesta publicação. Até que a palestra esteja disponível, Visite nosso whitepaper Para ler os detalhes técnicos.
Tem interesse em manter contato e acompanhar nossas pesquisas? Conecte-se com o pesquisador no LinkedIn para acompanhar mais informações.
Sobre Eliran Partush, Silverfort Pesquisador de Segurança
Eliran é pesquisador de segurança e especialista em TI na Silverfort Membro da equipe de pesquisa com interesse específico em protocolos de rede e autenticação, especialmente Kerberos. Ele adora desafios como CTFs e se aprofundar no estudo de protocolos. Possui vasta experiência como engenheiro de redes e sistemas na Cisco por mais de 10 anos e sempre gostou de desmontar e remontar sistemas.
