← Terug naar diensten // Offensive

Active Directory Pentest

Kerberoasting, delegation abuse en privilege escalation in AD

€175 /uur CCV gecertificeerd

Active Directory is het hart van vrijwel elke enterprise-omgeving. Daarom is dit vaak een geliefd doelwit voor aanvallers. Wij testen uw AD-omgeving op misconfiguraties, zwakke wachtwoorden, delegation abuse, Kerberoasting en aanvalspaden richting Domain Admin.

Wat is een Active Directory pentest?

Een Active Directory (AD) pentest is een gespecialiseerde aanval op de kern van uw Windows-omgeving. AD beheert identiteiten, rechten en beleidsregels van vrijwel alle gebruikers en systemen in een enterprise-netwerk. Wie Domain Admin heeft, heeft alles. Daarom is AD het primaire doelwit bij gerichte aanvallen en ransomware.

Onze pentesters kennen de technieken die APT-groepen en ransomware-operators gebruiken: Kerberoasting, AS-REP Roasting, unconstrained en constrained delegation abuse, DCSync, NTDS.dit extraction, ACL-misbruik, Golden Ticket en Silver Ticket aanvallen, PetitPotam en PrintNightmare relay-aanvallen. Wij testen niet alleen of deze aanvallen technisch mogelijk zijn, maar documenteren het volledige pad van gebruiker naar Domain Admin, zodat de klant het op kan lossen.

Waarom een Active Directory pentest laten uitvoeren?

Bij veel ransomware-incidenten is AD het primaire doelwit. Een AD-pentest brengt onder andere het volgende in kaart:

  • Aanvalspaden richting Domain Admin - concrete, exploiteerbare paden die wij daadwerkelijk volgen.
  • Zwakke wachtwoorden - via password spraying en Kerberoasting identificeren wij accounts met kwetsbare wachtwoorden.
  • Misconfiguraties - delegation, ACL's, SPN's, nested group memberships, verouderde protocollen.
  • Detectie-gaten - veel organisaties detecteren AD-aanvallen niet. Wij vertellen u of uw SOC ons zag.

Onze aanpak

AD-security is een van onze specialiteiten. Wij volgen een methodische aanpak en delen bevindingen direct:

  1. AD Enumeration - gebruikers, groepen, computers, OU's, GPO's, trust relationships en SPN's in kaart met BloodHound, SharpHound en PowerView.
  2. Credential attacks - Kerberoasting, AS-REP Roasting, password spraying en NTLM relay-aanvallen. Wachtwoorden kraken met Hashcat.
  3. Privilege escalation - delegation abuse (unconstrained, constrained, RBCD), ACL-misbruik (WriteDACL, GenericAll, GenericWrite), GPO-misbruik, group nesting.
  4. Lateral movement - pass-the-hash, overpass-the-hash, pass-the-ticket, remote execution via WMI, PSRemoting en SMB.
  5. Domain compromise - DCSync, NTDS.dit extractie, Golden/Silver Ticket. Als het pad bestaat, volgen wij het.
  6. Rapportage - volledig gedocumenteerd aanvalspad met concrete hardening-aanbevelingen. BloodHound-visualisaties van de aanvalspaden. Hertest op aanvraag.

Vinden wij iets kritiek? Dan hoort u het dezelfde dag. Niet in een rapport, maar via een belletje of bericht in ons gedeelde kanaal.

Wat kost een Active Directory pentest?

Ons uurtarief is €175 per uur. Indicaties:

  • Enkele domain, 100-500 gebruikers: circa €7.000 - €12.000
  • Multi-domain/forest, complexe trust relationships: circa €12.000 - €25.000
  • Gecombineerd met infrastructuur pentest: efficient onderzoek mogelijk, dus lagere kosten

Na een scopingsgesprek met de pentester ontvangt u een vaste prijsopgave.

Methodologie

1

Reconnaissance

Enumeration van gebruikers, groepen, GPO's en trust relationships.

2

Credential Attacks

Kerberoasting, AS-REP roasting en password spraying.

3

Privilege Escalation

Misbruik van delegation, ACL misconfiguraties en group nesting.

4

Lateral Movement

Pass-the-hash, overpass-the-hash en ticket-based aanvallen.

5

Rapportage

Volledig aanvalspad met concrete hardening-aanbevelingen.

Veelgestelde vragen

Wat is Kerberoasting en waarom is het gevaarlijk?

Kerberoasting is een aanval waarbij een gewone domeingebruiker TGS-tickets opvraagt voor service accounts en deze offline kraakt met Hashcat. Veel service accounts hebben zwakke wachtwoorden en hoge privileges. Wij vinden dit bij bijna elke AD-pentest.

Kunnen jullie ook Azure AD / Entra ID meenemen in de test?

Ja. De meeste organisaties hebben een hybride omgeving. Wij testen de synchronisatie via Azure AD Connect, conditional access policies en de aanvalspaden tussen on-premises en cloud. Zie ook onze Azure / Entra ID Pentest.

Wat als jullie Domain Admin bereiken, is dat niet gevaarlijk?

Wij werken gecontroleerd. Het doel is aantonen dat het pad bestaat, niet om schade te veroorzaken. Wij overleggen bij risicomomenten en documenteren elke stap. Bij bereiken van Domain Admin stoppen we met escaleren en rapporteren het pad. En u hoort het direct, niet pas in het eindrapport.

Hoe verschilt een AD-pentest van een reguliere interne pentest?

Een interne pentest test het brede netwerk: segmentatie, services, patches. Een AD-pentest is specifiek gericht op Active Directory: Kerberos-aanvallen, delegation abuse, ACL-analyse en domain compromise. De ideale aanpak combineert beide.

Gerelateerde diensten

// Offensive

Infrastructuur Pentest

Intern en extern netwerk, van perimeter tot domain admin

 // Offensive

Azure / Entra ID Pentest

Misconfiguraties, identity risks en privilege paths in uw Microsoft cloud

 // Offensive

Pentesting

CCV gecertificeerd - blackbox, greybox & whitebox

Klaar om uw security te testen?

Neem contact op met ons team voor een vrijblijvend gesprek over uw security uitdagingen.

Neem contact op