S4U (Service for User)
S4U (Service for User) es un conjunto de extensiones Kerberos que incluye S4U2self y S4U2proxy, utilizadas en Active Directory para la delegación de credenciales:
S4U2self: Permite a un servicio obtener un ticket Kerberos para un usuario en específico, incluso si el usuario no ha iniciado sesión. Esto es útil para escenarios donde un servicio necesita actuar en nombre de un usuario.
S4U2proxy: Extiende la funcionalidad de S4U2self, permitiendo a un servicio usar un ticket obtenido a través de S4U2self para solicitar tickets adicionales para acceder a otros servicios en nombre del usuario.
En ataques de Active Directory, estas extensiones pueden ser explotadas para escalar privilegios o moverse lateralmente en una red. Por ejemplo, un atacante con control sobre una cuenta que puede utilizar S4U2proxy podría obtener acceso a servicios adicionales que están fuera de su alcance directo. Estos ataques requieren comprensión detallada de Kerberos y la configuración del Active Directory.
Última actualización