Skip to content
PortsDB

Référence des ports

Port 88 (TCP/UDP) – Kerberos

Authentification Kerberos — le protocole de tickets au cœur d'Active Directory.

tcpudpWell-knownSouvent attaqué

État par défaut

Ouvert sur chaque contrôleur de domaine Active Directory. Ne doit jamais être exposé à Internet.

Attaques courantes

  • Kerberoasting des tickets de comptes de service
  • AS-REP roasting des comptes sans pré-authentification
  • Falsification de golden et silver tickets
  • Pass-the-ticket et overpass-the-hash

Durcissement

  • Utiliser des mots de passe longs et aléatoires pour les comptes de service (gMSA si possible)
  • Exiger la pré-authentification Kerberos sur tous les comptes
  • Faire tourner régulièrement le mot de passe du compte krbtgt (deux fois)
  • Surveiller les requêtes TGS anormales et les rétrogradations de chiffrement (RC4)
  • Ne jamais exposer le port 88 à Internet — garder les DC internes

Commande nmap

nmap -p88 --script krb5-enum-users <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui tourne sur le port 88

Le port 88 est le port par défaut de Kerberos, le protocole d'authentification réseau qui sous-tend Active Directory. Chaque contrôleur de domaine y écoute pour gérer les échanges du service d'authentification (AS) et du service de distribution de tickets (TGS) — émettant les tickets d'authentification (TGT) et les tickets de service qui permettent aux utilisateurs et aux machines de prouver leur identité sans transmettre de mots de passe en clair. Il utilise UDP et TCP 88, basculant vers TCP pour les gros tickets.

Pourquoi c'est important pour la sécurité

Kerberos est l'épine dorsale de confiance d'un domaine Windows : toute faiblesse ici se traduit directement par une compromission du domaine. Les tickets de service sont chiffrés avec le hash du mot de passe du compte cible, ce qui signifie que tout utilisateur authentifié peut demander des tickets et casser des mots de passe faibles hors ligne — sans verrouillage, sans journalisation sur la cible. Et comme le compte krbtgt signe tous les tickets, un attaquant qui vole son hash peut forger des golden tickets offrant un accès arbitraire jusqu'à rotation de la clé.

Comment c'est attaqué

Le Kerberoasting demande des tickets TGS pour les comptes de service et casse les blobs RC4 ou AES hors ligne pour récupérer les mots de passe. L'AS-REP roasting cible les comptes dont la pré-authentification est désactivée, en récoltant des réponses AS-REP cassables. Avec le hash krbtgt, un attaquant forge des golden tickets ; avec le hash d'un compte de service, des silver tickets. Les tickets volés sont réutilisés via le pass-the-ticket.

Liste de durcissement

Donnez à chaque compte de service un mot de passe long et aléatoire — ou mieux, un group Managed Service Account (gMSA) — pour que le cassage hors ligne échoue. Exigez la pré-authentification partout pour neutraliser l'AS-REP roasting. Faites tourner le mot de passe krbtgt (deux fois, avec un intervalle) régulièrement et après toute compromission suspectée. Désactivez RC4 au profit d'AES et alertez sur les rafales de requêtes TGS ou les rétrogradations de chiffrement. Le script nmap ci-dessus énumère les principaux valides sur les domaines que vous êtes autorisé à tester.

Ports liés

Port 389Port 636Port 135Port 445Port 464Port 3268

Questions fréquentes

À quoi sert le port 88 ?
Le port 88 héberge le service d'authentification Kerberos utilisé par les contrôleurs de domaine Active Directory pour émettre et valider les tickets d'authentification et les tickets de session (TGT).
Pourquoi Kerberos est-il une cible pour les attaquants ?
Les tickets Kerberos peuvent être cassés hors ligne (Kerberoasting, AS-REP roasting) ou falsifiés (golden/silver tickets), permettant aux attaquants d'élever leurs privilèges et de persister dans un domaine AD.