← Terug naar diensten // Offensive

Active Directory Pentest

Kerberoasting, delegation abuse en privilege escalation in AD

€175 /uur CCV gecertificeerd

Active Directory is het hart van vrijwel elke enterprise-omgeving - en een geliefd doelwit voor aanvallers. Wij testen uw AD-omgeving op misconfiguraties, zwakke wachtwoorden, delegation abuse, Kerberoasting en aanvalspaden richting Domain Admin.

Wat is een Active Directory pentest?

Een Active Directory (AD) pentest is een gespecialiseerde aanval op de kern van uw Windows-omgeving. AD beheert identiteiten, rechten en beleidsregels van vrijwel alle gebruikers en systemen in een enterprise-netwerk. Wie Domain Admin heeft, heeft alles. Daarom is AD het primaire doelwit bij gerichte aanvallen en ransomware.

Onze AD-pentesters kennen de technieken die APT-groepen en ransomware-operators gebruiken: Kerberoasting, AS-REP Roasting, unconstrained en constrained delegation abuse, DCSync, NTDS.dit extraction, ACL-misbruik, Golden Ticket en Silver Ticket aanvallen, PetitPotam en PrintNightmare relay-aanvallen. Wij testen niet alleen of deze aanvallen technisch mogelijk zijn, maar documenteren het volledige pad van gebruiker naar Domain Admin.

Waarom is Active Directory zo kwetsbaar?

AD bestaat sinds Windows 2000 en is ontworpen voor compatibiliteit, niet voor security. De standaardconfiguratie is onveilig. Vrijwel elke AD-omgeving die wij testen bevat een pad richting Domain Admin:

  • NTLM-authenticatie die relay-aanvallen mogelijk maakt
  • Service accounts met zwakke wachtwoorden (Kerberoasting)
  • Historisch gegroeide ACL-permissies die niemand meer overziet
  • Trust relationships met legacy-domeinen
  • GPO's met openstaande rechten

Waarom een Active Directory pentest laten uitvoeren?

Bij meer dan 80% van de ransomware-incidenten is AD het primaire doelwit. Een AD-pentest onthult:

  • Aanvalspaden richting Domain Admin - concrete, exploiteerbare paden die wij daadwerkelijk volgen.
  • Zwakke wachtwoorden - via password spraying en Kerberoasting identificeren wij accounts met kwetsbare wachtwoorden. Wij kraken die wachtwoorden - dat is het bewijs.
  • Misconfiguraties - delegation, ACL's, SPN's, nested group memberships, verouderde protocollen.
  • Detectie-gaten - veel organisaties detecteren AD-aanvallen niet. Wij vertellen u of uw SOC ons zag aankomen.

Onze aanpak

AD-security is een van onze specialiteiten. Wij volgen een methodische aanpak en delen bevindingen direct:

  • AD Enumeration - gebruikers, groepen, computers, OU's, GPO's, trust relationships en SPN's in kaart met BloodHound, SharpHound en PowerView.
  • Credential attacks - Kerberoasting, AS-REP Roasting, password spraying en NTLM relay-aanvallen. Wachtwoorden kraken met Hashcat.
  • Privilege escalation - delegation abuse (unconstrained, constrained, RBCD), ACL-misbruik (WriteDACL, GenericAll, GenericWrite), GPO-misbruik, group nesting.
  • Lateral movement - pass-the-hash, overpass-the-hash, pass-the-ticket, remote execution via WMI, PSRemoting en SMB.
  • Domain compromise - DCSync, NTDS.dit extractie, Golden/Silver Ticket. Als het pad bestaat, volgen wij het.
  • Rapportage - volledig gedocumenteerd aanvalspad met concrete hardening-aanbevelingen. BloodHound-visualisaties van de aanvalspaden. Hertest op aanvraag.
Vinden wij iets kritiek? Dan hoort u het dezelfde dag. Niet in een rapport, maar via een belletje of bericht in ons gedeelde kanaal.

Wat kost een Active Directory pentest?

Ons uurtarief is €175 per uur. Indicaties:

  • Enkele domain, 100-500 gebruikers: circa €7.000 - €12.000
  • Multi-domain/forest, complexe trust relationships: circa €12.000 - €25.000
  • Gecombineerd met infrastructuur pentest: aanvullende korting mogelijk
Na een scopingsgesprek - met de pentester, niet met een verkoper - ontvangt u een vaste offerte.

Methodologie

1

Reconnaissance

Enumeration van gebruikers, groepen, GPO's en trust relationships.

2

Credential Attacks

Kerberoasting, AS-REP roasting en password spraying.

3

Privilege Escalation

Misbruik van delegation, ACL misconfiguraties en group nesting.

4

Lateral Movement

Pass-the-hash, overpass-the-hash en ticket-based aanvallen.

5

Rapportage

Volledig aanvalspad met concrete hardening-aanbevelingen.

Veelgestelde vragen

Wat is Kerberoasting en waarom is het gevaarlijk?

Kerberoasting is een aanval waarbij een gewone domeingebruiker TGS-tickets opvraagt voor service accounts en deze offline kraakt met Hashcat. Veel service accounts hebben zwakke wachtwoorden en hoge privileges. Wij vinden dit bij bijna elke AD-pentest.

Kunnen jullie ook Azure AD / Entra ID meenemen in de test?

Ja. De meeste organisaties hebben een hybride omgeving. Wij testen de synchronisatie via Azure AD Connect, conditional access policies en de aanvalspaden tussen on-premises en cloud. Zie ook ons Azure / Entra ID Assessment.

Wat als jullie Domain Admin bereiken - is dat niet gevaarlijk?

Wij werken gecontroleerd. Het doel is aantonen dat het pad bestaat, niet om schade te veroorzaken. Wij overleggen bij risicomomenten en documenteren elke stap. Bij bereiken van Domain Admin stoppen we met escaleren en rapporteren het pad. En u hoort het direct - niet pas in het eindrapport.

Hoe verschilt een AD-pentest van een reguliere interne pentest?

Een interne pentest test het brede netwerk: segmentatie, services, patches. Een AD-pentest is specifiek gericht op Active Directory: Kerberos-aanvallen, delegation abuse, ACL-analyse en domain compromise. De ideale aanpak combineert beide, en dat levert een korting op.

Gerelateerde diensten

// Offensive

Infrastructuur Pentest

Intern en extern netwerk - van perimeter tot domain admin

 // Offensive

Azure / Entra ID Assessment

Misconfiguraties, identity risks en privilege paths in uw Microsoft cloud

 // Offensive

Pentesting

CCV gecertificeerd - blackbox, greybox & whitebox

Klaar om uw security te testen?

Neem contact op met ons team voor een vrijblijvend gesprek over uw security uitdagingen.

Neem contact op