← Terug naar diensten // Offensive

Active Directory Pentest

Kerberoasting, delegation abuse en privilege escalation in AD

€175 /uur CCV gecertificeerd Neem contact op

Active Directory is het hart van vrijwel elke enterprise-omgeving. Daarom is dit vaak een geliefd doelwit voor aanvallers. Wij testen uw AD-omgeving op misconfiguraties, zwakke wachtwoorden, delegation abuse, Kerberoasting en aanvalspaden richting Domain Admin.

Wat is een Active Directory pentest?

Een Active Directory (AD) pentest is een gespecialiseerde aanval op de kern van uw Windows-omgeving. AD beheert identiteiten, rechten en beleidsregels van vrijwel alle gebruikers en systemen in een enterprise-netwerk. Wie Domain Admin heeft, heeft alles. Daarom is AD het primaire doelwit bij gerichte aanvallen en ransomware.

Onze pentesters kennen de technieken die APT-groepen en ransomware-operators gebruiken: Kerberoasting, AS-REP Roasting, unconstrained en constrained delegation abuse, DCSync, NTDS.dit extraction, ACL-misbruik, Golden Ticket en Silver Ticket aanvallen, en coercion via PetitPotam en de PrinterBug (MS-RPRN) met NTLM relay naar AD CS. Wij testen niet alleen of deze aanvallen technisch mogelijk zijn, maar documenteren het volledige pad van gebruiker naar Domain Admin, zodat de klant het op kan lossen.

Waarom een Active Directory pentest laten uitvoeren?

Bij veel ransomware-incidenten is AD het primaire doelwit. Een AD-pentest brengt onder andere het volgende in kaart:

  • Aanvalspaden richting Domain Admin - concrete, exploiteerbare paden die wij daadwerkelijk volgen.
  • Zwakke wachtwoorden - via password spraying en Kerberoasting identificeren wij accounts met kwetsbare wachtwoorden.
  • Misconfiguraties - delegation, ACL's, SPN's, nested group memberships, verouderde protocollen.
  • Detectie-gaten - veel organisaties detecteren AD-aanvallen niet. Wij vertellen u of uw SOC ons zag.

Onze aanpak

AD-security is een van onze specialiteiten. Wij volgen een methodische aanpak en delen bevindingen direct:

  1. AD Enumeration - gebruikers, groepen, computers, OU's, GPO's, trust relationships en SPN's in kaart met BloodHound, SharpHound en PowerView.
  2. Credential attacks - Kerberoasting, AS-REP Roasting, password spraying en NTLM relay-aanvallen. Wachtwoorden kraken met Hashcat.
  3. Privilege escalation - delegation abuse (unconstrained, constrained, RBCD), ACL-misbruik (WriteDACL, GenericAll, GenericWrite), GPO-misbruik, group nesting.
  4. Lateral movement - pass-the-hash, overpass-the-hash, pass-the-ticket, remote execution via WMI, PSRemoting en SMB.
  5. Domain compromise - DCSync, NTDS.dit extractie, Golden/Silver Ticket. Als het pad bestaat, volgen wij het.
  6. Rapportage - volledig gedocumenteerd aanvalspad met concrete hardening-aanbevelingen. BloodHound-visualisaties van de aanvalspaden. Hertest op aanvraag.

Vinden wij iets kritiek? Dan hoort u het dezelfde dag. Niet in een rapport, maar via een belletje of bericht in ons gedeelde kanaal.

Hoe verloopt een Active Directory pentest?

Een AD-pentest volgt het pad dat een echte aanvaller ook bewandelt. Wij starten met enumeration: vanuit een gewoon gebruikersaccount of zelfs unauthenticated brengen wij gebruikers, groepen, computers, OU's, GPO's, SPN's en trust relationships in kaart. Daarna volgen credential attacks zoals Kerberoasting en password spraying om aan bruikbare accounts te komen. Vervolgens zoeken wij naar privilege escalation via delegation, ACL's en group nesting, en bewegen wij lateraal door het domein met pass-the-hash en ticket-based technieken. Het eindstation is domain compromise: kunnen wij Domain Admin of een Domain Controller bereiken? Tot slot leveren wij een rapportage met het volledige, reproduceerbare aanvalspad en concrete hardening-stappen.

Welke aanvalstechnieken testen wij?

Wij testen het volledige arsenaal dat ransomware-operators en APT-groepen tegen AD inzetten. Op credential-niveau: Kerberoasting en AS-REP Roasting om service- en gebruikersaccounts offline te kraken, password spraying tegen het hele domein, en NTLM relay-aanvallen. Op privilege-niveau misbruiken wij unconstrained, constrained en resource-based constrained delegation (RBCD), gevaarlijke ACL's zoals WriteDACL, GenericAll en GenericWrite, en nested group memberships. Voor coercion zetten wij PetitPotam en de PrinterBug (MS-RPRN) in om authenticatie af te dwingen richting een door ons gecontroleerd systeem, vaak gevolgd door NTLM relay naar AD CS (ESC8). Bij domain compromise demonstreren wij DCSync, Golden Ticket en Silver Ticket. Elke techniek voeren wij gecontroleerd uit en documenteren wij stap voor stap, zodat u precies weet welke misconfiguratie het mogelijk maakte.

Welke tools gebruiken wij?

Wij combineren bewezen offensive tooling met handmatige analyse. Voor het in kaart brengen van aanvalspaden gebruiken wij BloodHound en SharpHound, aangevuld met PowerView voor gerichte AD-enumeration. Kerberos-aanvallen zoals Kerberoasting, delegation abuse en ticket-manipulatie voeren wij uit met Rubeus en de Impacket-suite. Voor credential extraction en pass-the-hash zetten wij Mimikatz in, en wachtwoorden kraken wij offline met Hashcat op krachtige GPU-hardware. Tooling alleen is echter niet genoeg: de echte waarde zit in interpretatie. Wij lezen BloodHound-paden kritisch, valideren elke bevinding handmatig en filteren false positives eruit. Zo levert u geen scanlijst, maar een doorleefd aanvalsverhaal van gebruiker naar Domain Admin.

Welke kwetsbaarheden vinden wij het vaakst?

Bij vrijwel elke AD-pentest komen dezelfde structurele zwaktes terug. Zwakke service-account wachtwoorden zijn de absolute koploper: kerberoastbare accounts met een ouderwets, kraakbaar wachtwoord en vaak hoge privileges. Daarnaast zien wij overmatige rechten, waarbij gebruikers of groepen veel meer mogen dan nodig, en gevaarlijke ACL's zoals WriteDACL of GenericAll op kritieke objecten. Verouderde protocollen als LLMNR, NBT-NS en SMB-signing dat uitstaat maken NTLM relay mogelijk. Tot slot zijn nested group memberships een terugkerend probleem: via een keten van geneste groepen erft een onbeduidend account ongemerkt Domain Admin-rechten. Juist deze opeenstapeling van kleine misconfiguraties vormt het pad naar volledige domeinovername.

Hoe lang duurt een Active Directory pentest?

De doorlooptijd hangt af van de omvang en complexiteit van uw omgeving: het aantal domains en forests, de hoeveelheid gebruikers en systemen, en de complexiteit van trust relationships. Een enkele domain met een paar honderd gebruikers testen wij doorgaans in enkele dagen tot ruim een week. Een multi-domain- of forest-omgeving met complexe trusts en hybride koppelingen vraagt al snel meerdere weken. Wij plannen geen vaste duur in zonder uw omgeving te kennen; na een scopingsgesprek met de pentester ontvangt u een onderbouwde inschatting en een vaste prijsopgave. Liever grondig dan gehaast: een AD-pentest die het echte aanvalspad mist, heeft geen waarde.

Wat is het verschil met een reguliere interne pentest?

Een reguliere interne pentest kijkt breed naar het netwerk: segmentatie, open services, ontbrekende patches, kwetsbare applicaties en de algehele weerbaarheid van uw infrastructuur. Een Active Directory pentest zoomt juist in op de identity-laag. Hier draait alles om Kerberos-aanvallen, delegation abuse, ACL-analyse en het concrete pad naar domain compromise. Een brede interne pentest signaleert dat AD aandacht nodig heeft; een AD-pentest bewijst exact welke misconfiguratie een aanvaller Domain Admin oplevert. De technieken, tooling en diepgang verschillen wezenlijk. De ideale aanpak combineert beide: eerst de breedte van het netwerk, dan de diepte van Active Directory. Vaak voeren wij ze daarom in één gecombineerd traject uit.

Active Directory pentest en ransomware-weerbaarheid

Bij vrijwel elk grootschalig ransomware-incident is Active Directory het primaire doelwit. Aanvallers zoeken het snelste pad naar Domain Admin, omdat ze van daaruit in één klap GPO's, backups en endpoints kunnen uitschakelen en de ransomware domein-breed kunnen uitrollen. Een AD-pentest beantwoordt daarom de meest urgente vraag: ligt dat pad bij u open? Wij tonen aan of een aanvaller met een gestolen gebruikersaccount via Kerberoasting, delegation abuse of een ACL-keten Domain Admin kan bereiken. Net zo belangrijk is de tweede vraag: ziet uw SOC ons? Wij voeren de aanvallen herkenbaar uit en koppelen terug welke stappen wel en niet zijn gedetecteerd. Zo weet u of u een aanval kunt stoppen voordat de ransomware afgaat.

Wat kost een Active Directory pentest?

Ons uurtarief is €175 per uur. Indicaties:

  • Enkele domain, 100-500 gebruikers: circa €7.000 - €12.000
  • Multi-domain/forest, complexe trust relationships: circa €12.000 - €25.000
  • Gecombineerd met infrastructuur pentest: efficient onderzoek mogelijk, dus lagere kosten

Na een scopingsgesprek met de pentester ontvangt u een vaste prijsopgave.

Methodologie

1

Reconnaissance

Enumeration van gebruikers, groepen, GPO's en trust relationships.

2

Credential Attacks

Kerberoasting, AS-REP roasting en password spraying.

3

Privilege Escalation

Misbruik van delegation, ACL misconfiguraties en group nesting.

4

Lateral Movement

Pass-the-hash, overpass-the-hash en ticket-based aanvallen.

5

Rapportage

Volledig aanvalspad met concrete hardening-aanbevelingen.

Veelgestelde vragen

Wat is Kerberoasting en waarom is het gevaarlijk?

Kerberoasting is een aanval waarbij een gewone domeingebruiker TGS-tickets opvraagt voor service accounts en deze offline kraakt met Hashcat. Veel service accounts hebben zwakke wachtwoorden en hoge privileges. Wij vinden dit bij bijna elke AD-pentest.

Kunnen jullie ook Azure AD / Entra ID meenemen in de test?

Ja. De meeste organisaties hebben een hybride omgeving. Wij testen de synchronisatie via Azure AD Connect, conditional access policies en de aanvalspaden tussen on-premises en cloud. Zie ook onze Azure / Entra ID Pentest.

Wat als jullie Domain Admin bereiken, is dat niet gevaarlijk?

Wij werken gecontroleerd. Het doel is aantonen dat het pad bestaat, niet om schade te veroorzaken. Wij overleggen bij risicomomenten en documenteren elke stap. Bij bereiken van Domain Admin stoppen we met escaleren en rapporteren het pad. En u hoort het direct, niet pas in het eindrapport.

Hoe verschilt een AD-pentest van een reguliere interne pentest?

Een interne pentest test het brede netwerk: segmentatie, services, patches. Een AD-pentest is specifiek gericht op Active Directory: Kerberos-aanvallen, delegation abuse, ACL-analyse en domain compromise. De ideale aanpak combineert beide.

Klaar om uw security te testen?

Neem contact op met ons team voor een vrijblijvend gesprek over uw security uitdagingen.