Directory Services Internals Blog
-
Pripravovaná prednáška: Pass-the-Passkey Family of Attacks na Black Hat USA 26
Na konferencii Black Hat USA 26 v Las Vegas, v termíne 1.–6. augusta 2026, budem prezentovať svoj najnovší výskum Pass-the-Passkey Family of Attacks.
Passkey sa postupne stávajú novým štandardom prihlasovania – a náš výskum ukázal, že niektoré reálne implementácie sú zraniteľné voči útokom, ktoré sú principiálne podobné Pass-the-Hash a NTLM Relay. Túto kategóriu útokov sme nazvali Pass-the-Passkey.
V prednáške ukážem:
- Implementáciu Passkey vo významnej cloudovej službe, ktorá je zraniteľná práve voči tým útokom, pred ktorými mala chrániť.
- Historické podpisy generované YubiKey kľúčmi uložené v čitateľnej podobe, ku ktorým majú prístup aj bežní (aj vzdialení) autentifikovaní používatelia.
- Impersonáciu privilegovaných identít s obídením vynucovania phishing-resistant MFA a bez detekcie populárnymi XDR riešeniami.
- Phishing, tampering, spoofing, fuzzing a prompt-flooding útoky proti Passkeys – niektoré z nich spustiteľné aj z kompromitovaných terminálových serverov alebo VM, prezentované cez populárnu C2 infraštruktúru.
Špecifikácia WebAuthn predpisuje 22-krokový proces validácie Passkey s netriviálnou kryptografiou a transakčnou logikou, takže urobiť pri implementácii chybu je jednoduché – dokonca aj pre firmy, ktoré sa na tvorbe štandardu podieľali. Otvorením zdrojového kódu nášho nástroja chceme ostatným pentesterom pomôcť odhaľovať ďalšie zraniteľnosti spôsobené nesprávnou verifikáciou Passkey.
Pozrite si tiež Black Hat Briefings prednášky a Arsenal prezentácie mojich kolegov zo SpecterOps.
Uvidíme sa v Las Vegas!
-
Video: Microsoft RPC a firewall: Cesta deviatym kruhom pekla
-
Video: Okta na dobré aj zlé – hybridné útočné cesty cez Okta organizácie
Záznam mojej prednášky z konferencie SO-CON 2026, ktorú som odprezentoval spolu s Lanceom Cainom:
Bezpečnostní špecialisti aj koncoví používatelia oceňujú pohodlie technológií jednotného prihlásenia (SSO), ako je Okta. Bohužiaľ, útočníci tiež. Pozrieme sa na to, ako kompromitované ľudské alebo strojové identity môžu viesť k hybridným útočným cestám, ktoré začínajú v Active Directory, pokračujú cez Oktu a dostávajú sa ku kritickým aktívam, ako sú Git repozitáre, CI/CD pipeline, cloudové úložiská alebo podnikové správcovia hesiel. Tiež si ukážeme, ako môžu útočníci doručovať payload na zariadenia macOS prostredníctvom Okty a MDM riešení tretích strán.
-
Pripravovaná prednáška: KDS Root Keys: All Secrets Finally Revealed na TROOPERS26
Budem prednášať na konferencii TROOPERS26 v nemeckom Heidelbergu, v termíne 22.–26. júna 2026, a to v novom tracku Active Directory & Entra ID Security. Moja prednáška KDS Root Keys: All Secrets Finally Revealed sa bude venovať online aj offline útokom prakticky proti všetkým spôsobom použitia KDS Root Keys, vrátane:
- Dešifrovania zväzkov chránených BitLocker SID Protectorom.
- Exportu súkromných RSA kľúčov zo skupinovo chránených PFX súborov.
- Získavania DNSSEC podpisových kľúčov (ZSK a KSK) z Active Directory.
- Obnovy connection stringov k databázam v ASP.NET Core aplikáciách.
- Hromadného exportu hesiel Windows LAPS a DSRM.
- Offline generovania hesiel pre gMSA a dMSA účty.
V prednáške predstavím aj novo objavený univerzálny útok proti DPAPI-NG SID protectorom, ktorý dokáže odšifrovať ľubovoľné tajomstvo bez nutnosti písať dešifrovač špecifický pre konkrétnu aplikáciu.
Uvidíme sa v Heidelbergu!
-
Pripravovaná prednáška: KDS Root Keys and Where to Find Them na HIP Conf 26
Po tom, čo svoj nový výskum o KDS Root Keys predstavím európskemu publiku na TROOPERS26 v Heidelbergu, sa veľmi teším na možnosť odprezentovať ho aj americkému publiku v ikonickom Nashville. Budem prednášať na konferencii Hybrid Identity Protection Conference 26 v Nashville (Tennessee, USA) v termíne 8.–10. septembra 2026. Moja prednáška KDS Root Keys and Where to Find Them je zaradená na stredu 9. septembra o 11:15 v tracku Identity Security Research.
KDS Root Keys sú kryptografické semienka, z ktorých Active Directory odvodzuje heslá pre gMSA a dMSA účty, šifruje tajomstvá Windows LAPS a zabezpečuje DPAPI-NG SID protectory. Ich získanie útočníkovi otvorí oveľa viac dverí, než len jeden účet. V prednáške ukážem online aj offline útoky prakticky proti všetkým spôsobom použitia KDS Root Keys, vrátane:
- Dešifrovania zväzkov chránených BitLocker SID Protectorom.
- Exportu súkromných RSA kľúčov zo skupinovo chránených PFX súborov.
- Získavania DNSSEC podpisových kľúčov (ZSK a KSK) z Active Directory.
- Obnovy connection stringov k databázam v ASP.NET Core aplikáciách.
- Hromadného exportu hesiel Windows LAPS a DSRM.
- Offline generovania hesiel pre gMSA a dMSA účty.
Predstavím aj novo objavený univerzálny útok proti DPAPI-NG SID protectorom, ktorý dokáže odšifrovať ľubovoľné tajomstvo bez nutnosti písať dešifrovač špecifický pre konkrétnu aplikáciu.
Uvidíme sa v Nashville!
-
Video: Firewall na doménových radičoch
-
Video: Integrácia Entra ID do vlastných aplikácií
-
Video: Active Directory Is Not Dead
-
Registrácia Claims X-Ray v Entra ID pomocou PowerShellu
Väčšina správcov ADFS pravdepodobne pozná webovú aplikáciu Claims X-Ray od Microsoftu, ktorá sa môže hodiť pri ladení SAML tokenov:

Aplikáciu Claims X-Ray je možné zaregistrovať aj v v Azure Active Directory, i keď to nie je oficiálne podporované:

Čím ďalej, tým viac je možné vnímať snahu Microsoftu presvedčiť svojich zákazníkov, aby premigrovali svoje aplikácie z ADFS do AAD. Preto si myslím, že Claims X-Ray ešte môže nadobudnúť na význame.
Registrácia tejto aplikácie v Azure AD portáli je relatívne priamočiara. Čo je ale výrazne náročnejšie, je spraviť všetky nastavenia výhradne pomocou Microsoft Graph PowerShell SDK. Keďže mi trvalo celý deň, než sa mi podarilo popasovať s nedostatočnou dokumentáciou a viacerými chybami v oficiálnom PowerShell module, rozhodol som o svoj výsledný skript podeliť. Možno tým niekomu ušetrím drahocenný čas. S drobnými zmenami je možné tento postup použiť k registrácii ľubovoľnej SAML aplikácie v Azure AD.
Podrobný popis nasledujúceho skriptu je dostupný v anglickej verzii tohoto článku.
Pokračovanie...#Requires -Version 5 #Requires -Modules Microsoft.Graph.Applications,Microsoft.Graph.Identity.SignIns # Note: The required modules can be installed using the following command: # Install-Module -Name Microsoft.Graph.Applications,Microsoft.Graph.Identity.SignIns -Scope AllUsers -Force # Connect to AzureAD # Note: The -TenantId parameter is also required when using a Microsoft Account. Connect-MgGraph -Scopes @( 'Application.ReadWrite.All', 'AppRoleAssignment.ReadWrite.All', 'DelegatedPermissionGrant.ReadWrite.All', 'Policy.Read.All', 'Policy.ReadWrite.ApplicationConfiguration' ) # Register the application [string] $appName = 'Claims X-Ray' [string] $appDescription = 'Use the Claims X-ray service to debug and troubleshoot problems with claims issuance.' [string] $redirectUrl = 'https://adfshelp.microsoft.com/ClaimsXray/TokenResponse' [hashtable] $infoUrls = @{ MarketingUrl = 'https://adfshelp.microsoft.com/Tools/ShowTools' PrivacyStatementUrl = 'https://privacy.microsoft.com/en-us/privacystatement' TermsOfServiceUrl = 'https://learn.microsoft.com/en-us/legal/mdsa' SupportUrl = 'https://adfshelp.microsoft.com/Feedback/ProvideFeedback' } [Microsoft.Graph.PowerShell.Models.IMicrosoftGraphApplication] $registeredApp = New-MgApplication -DisplayName $appName ` -Description $appDescription ` -Web @{ RedirectUris = $redirectUrl } ` -DefaultRedirectUri $redirectUrl ` -GroupMembershipClaims All ` -Info $infoUrls Update-MgApplication -ApplicationId $registeredApp.Id ` -SignInAudience 'AzureADMyOrg' ` -IdentifierUris 'urn:microsoft:adfs:claimsxray' -
Video: Podpora čipových kariet v Azure Active Directory
-
Video: Auditujeme Active Directory pomocou PowerShellu
-
Video: Úvod do Cloud Security
-
Video: SQL Server Windows Authentication Internals
-
Video: Zabezpečenie hesiel a šifrovacích kľúčov vo Windows
Pokračovanie... -
Video: Azure AD Application Proxy
-
Video: Využite eObčanku na maximum
Pokračovanie... -
Video: Svet bez hesiel: Už tam sme?
Pokračovanie... -
Video: Privileged Access Management v (Azure) Active Directory
-
Video: Moderná autentifikácia na webe
Pokračovanie... -
Video: Azure Active Directory pre správcov Active Directory
-
Slajdy: Bezheslová autentifikácia v Azure Active Directory
Nedávno som mal webcast organizovaný spoločnosťou Mainstream Technologies na tému Bezheslová autentifikácia v (Azure) Active Directory. Slajdy z prezentáie sú k dispozícii na stiahnutie.
-
Video: Exploitácia Windows Hello for Business
Na YouTube sa objavil záznam mojej prenášky z konferencie Black Hat Europe 2019 s názvom Exploiting Windows Hello for Business:
-
Slajdy z konferencie Black Hat Europe 2019

-
Video: Offline útoky na Active Directory
-
Video: Windows Hello for Business Deep-Dive
Pokračovanie... -
Auditovanie slabých hesiel v Active Directory
Nedávno som spolupracoval so spoločnosťou Thycotic na vývoji programu Weak Password Finder for Active Directory. Cieľom bolo vytvoriť nástroj, ktorý by bol síce jednoduchý na používanie, ale pritom by dával viac než uspokojivé výsledky. To sa myslím podarilo a táto kombinácia ho robí unikátnym na trhu.
Pokračovanie...
-
Video: Konfigurujeme PowerShell DSC server
-
Expirácia Linkov v Active Directory
Windows Server 2016 prinesie niekoľko zaujímavých zmien v Active Directory. Dnes som sa rozhodol preskúmať funkciu expirácie linkov, vďaka ktorej je možné zaradiť používateľa do skupiny len na obmedzenú dobu. Môže sa to zísť napríklad na delegáciu správcovských privilégií na obmedzenú dobu. Podrobnosti nájdete v anglickej verzii článku.
-
Získanie hesla GMSA účtu z AD
Podarilo sa mi nájsť spôsob, ako získať z Active Directory plaintextovú podobu hesla spravovaných účtov (Group Managed Service Account, GMSA). Viac sa dočítate v mojom článku (iba v AJ). Túto problematiku kedysi z iného uhlu pekne popísal Ondra Ševeček na svojom blogu.
-
Video: Novinky v PowerShell 5
Záznam mojej prednášky o novinkách v PowerShell 5:
Pokračovanie... -
Video: Pass-the-Hash útoky a obrana proti nim
Záznam mojej prednášky o pass-the-hash útokoch:
Pokračovanie... -
Získanie záložných kľúčov DPAPI z Active Directory
Podarilo sa mi nájsť spôsob, ako vytiahnuť záložné kľúče DPAPI zo záloh ntds.dit súborov a aj na diaľku cez replikačný protokol. Napísal som o tom článok v anglickom jazyku.
-
Vykrádanie hesiel zo zálohy Active Directory
Nedávno som písal o príkaze Get-ADReplAccount, pomocou ktorého je možné vzdialene vytiahnuť heslá a iné citlivé informácie z doménového kontroléru. Tieto dáta sú na každom doménovom kontroléri uložené v súbore ndts.dit a odtiaľ sa dajú získať aj napriamo. Dokáže to napríklad nástroj NTDSXtact, ale ten je určený pre Linux, nemá moc jednoduché ovládanie a na väčších databázach je dosť pomalý. Preto som do svojho PowerShell modulu DSInternals pridal príkaz Get-ADDBAccount, ktorého použitie je hračka:
Pokračovanie...# Z registrov najprv získame tzv. Boot Key, ktorým sú heslá zašifrované: $key = Get-BootKey -SystemHivePath 'C:\IFM\registry\SYSTEM' # Načítame databázu a dešifrujeme heslá všetkých používateľov: Get-ADDBAccount -All -DBPath 'C:\IFM\Active Directory\ntds.dit' -BootKey $key # Môžeme vytiahnuť aj heslo konkrétneho účtu, na základe distinguishedName, objectGuid, objectSid či sAMAccountName: Get-ADDBAccount -DistinguishedName 'CN=krbtgt,CN=Users,DC=Adatum,DC=com' -DBPath 'C:\IFM\Active Directory\ntds.dit' -BootKey $key -
Vykrádanie hesiel z Active Directory na diaľku
Predstavujem Vám príkaz Get-ADReplAccount, najnovší prírastok do môjho PowerShell modulu DSInternals, ktorý umožňuje z doménových kontrolérov na diaľku získať plaintextové heslá, hashe hesiel a Kerberos kľúče všetkých používateľov. Toho dosahuje tým, že simuluje chovanie príkazu dcpromo a cez protokol MS-DRSR si vytvorí repliku všetkých dát v Active Directory databáze. Podľa mojich informácií sa jedná o jediný verejne dostupný nástroj svojho druhu na svete. Ďalej má tieto vlastnosti:
- Ku svojej činnosti nevyžaduje ani práva doménového správcu. Bohate si vystačí s oprávnením Replicating Directory Changes All, ktoré má napríklad DirSync, Cisco WAAS či zle nakonfigurovaný SharePoint.
- Otvára dvere dokorán ďalším útokom, ako sú pass-the-hash, pass-the-ticket či PAC spoofing, pomocou ktorých je útočník schopný dostať pod kontrolu celý Active Directory forest. Takéto útoky zvláda napríklad nástroj mimikatz.
- Nedá sa zablokovať pomocou firewallu, pretože by to základnú funkčnosť Active Directory.
- V logoch na doménovom radiči zanecháva len minimálnu stopu, ktorú prehliadne väčšina bezpečnostných auditov.
- Nezneužíva žiadnu bezpečnostnú zraniteľnosť, ktorá by sa dala jednoducho opraviť v rámci aktualizácie systému.
- Jeho použitie nevyžaduje žiadne špeciálne vedomosti či prípravu. Útočníkovi stačí základná znalosť Active Directory.
Príklad použitia:
Pokračovanie...Import-Module DSInternals $cred = Get-Credential Get-ADReplAccount -SamAccountName April -Domain Adatum -Server LON-DC1 ` -Credential $cred -Protocol TCP -
Pohľad do Active Directory databázy
Pri svojej nedávnej prednáške o fungovaní Active Directory na konferencii TechEd som ukazoval aj nástroj Esent Workbench, pomocou ktorého je môžné preskúmať internú štruktúru súboru ntds.dit. Nie je to ovšem nič pre slabšie žalúdky. -
Moje slajdy z TechEd 2015

Ešte raz ďakujem všetkým účastníkom mojich prednášok na konferencii TechEd 2015, plné kinosály ma príjemne prekvapili. Tu sú slajdy, ktoré som premietal:
- Obrana proti pass-the-hash útokom
- Ako funguje Active Directory databáza
- Novinky v PowerShell 5 Preview
A tu sú príklady, na ktorých som ukazoval novinky v PowerShell 5:
Pokračovanie...#region Init function prompt() { 'PS 5 > ' } cls #endregion Init -
Offline zmena členstva v skupinách
Spôsobov, ako sa dá hacknúť doménový kontrolér, ak útočník získa fyzický prístup k jeho systémovému disku, existuje veľa. Za zmienku stojí napríklad podvrhnutie SID History, o ktorom som nedávno písal, alebo notoricky známe nahradenie nástroja Klávesnica na obrazovke príkazovým riadkom.
Pokračovanie... -
Offline zmena SID History
Jedným z možných útokov na bezpečnosť Active Directory je podvrhnutie SID History. V Microsofte sú si toho plne vedomí a preto sú v Active Directory implementované 2 mechanizmy, ktoré zabraňujú efektívnemu zneužitiu SID History:
- Hodnoty atribútu sIDHistory prichádzajúce z externých trustov sú vo východzom stave ignorované vďaka funkcii SID Filtering.
- Atribút sIDHistory sa nedá len tak zmeniť na ľubovoľnú hodnotu ani pomocou konzoly Active Directory Users and Computers, ani cez PowerShell či nejaké API. Jediný podporovaný spôsob je použitie nástroja ADMT, ktorý vie prekopírovať existujúci SID z dôverovanej domény do SID History v dôverujúcej doméne.
Ako však zapísať do SID History akúkoľvek hodnotu a obísť tak druhý z uvedených mechanizmov?
Pokračovanie... -
Ako resetovať heslo účtu krbtgt
V prípade kompromitácie niektorého z doménových radičov hrozí, že sa útočník dostal k heslu krbtgt účtu, vďaka čomu môže začat vystavovať ľubovoľné Kerberos tikety a získať tak práva ktoréhokoľvek používateľa či služby. To je katastrofický scenár, pretože si nikdy nemôžete byť istí, čo všetko tam útočník stihol napáchať a kde všade si ponechal zadné vrátka. V takejto situácii je najbezpečnejšie obnoviť celý AD forest zo zálohy, alebo ho rovno preinštalovať.
Pokračovanie... -
Správa hesiel lokálnych administrátorov
Chceli by ste mať na každom doménovom PC lokálny účet Administrator s unikátnym, náhodným a pravidelne meneným heslom, bez nutnosti to riešiť manuálne? Potom Vám môžem doporučiť veľmi zaujímavý open-source nástroj Local admin password management solution, ktorého autorom je Jiří Formáček.

-
Ako na snapshoty Active Directory databázy
Ako jeden z mechanizmov zálohovania Active Directory sa mi osvedčili každodenné snapshoty databázy. Nedajú sa síce použiť priamo k obnoveniu DC, ale v kombinácii s nástrojom dsamain umožňujú veľmi rýchlo nahliadnuť do historického stavu domény.
Pokračovanie... -
Video: Ako Active Directory narába s Vaším heslom
-
Účet Administrator a DCPromo
Vedeli ste, že potom, čo vytvoríte novú Active Directory doménu pomocou nástroja dcpromo (resp. cez Server Manager od Windows Server 2012), musíte zmeniť heslo účtu Administrator? Bez toho bude voči tomuto účtu fungovať Kerberos autentizácia iba so zastaralým šifrovaním RC4, ale už nie s moderným a bezpečným AES, ani s prehistorickým DES (nefunkčnosť DESu je vlastne skôr výhoda). Obdobne Vám nepôjde ani Digest autentizácia, kým NTLM pobeží bez problémov. Skoro nikto o tom nevie a v dokumentácii sa to tiež nedozviete.
Pokračovanie... -
Ako funguje synchronizácia hesiel z on-premise AD do Azure AD
Článkov o tom, ako nakonfigurovať synchronizáciu hesiel z vnútrofiremného Active Directory do Azure AD / Office 365, či už pomocou pôvodného nástroja DirSync, alebo jeho novšej verzie s názvom Azure AD Connect, nájdete na internete hromadu a nie je to žiadna veda. Čo sa však nikde nedočítate, je to, ako presne táto synchronizácia funguje. A to je otázka, ktorú si určite položí každý správca, ktorému bezpečnosť nie je cudzia. Rozhodol som sa teda, že to preskúmam a podelím sa s Vami o výsledky svojho bádania.
Pokračovanie... -
Video: LDAP dotazy nad Active Directory
Pokračovanie... -
Video: Novinky v PowerShell 4
Pokračovanie...
DSInternals














