根據一篇博客爆料，在Kerberos部署中存在大量身份驗證漏洞，特別是針對微軟的，這激起了人們對舊的但危險的漏洞進行新的認知。

安全研究員詳解了各種通過使用pass-the-ticket、pass-the-hash或偽造特權屬性證書繞過身份驗證系統來攻擊Kerberos的方法。在最為嚴重的漏洞中，攻擊者能夠在微軟Kerberos環境中創建一個黃金通行證(golden ticket)，使其具備管理員權限，為現有用戶或并不存在的新用戶創建秘密密碼。

這是因為在微軟Kerberos中密鑰分發中心(KDC)會對使用krbtgt用戶密鑰的通行授予(TGT)和PAC數據進行加密和標記，這都是默認情況下創建的。該漏洞更具有危險性，因為krbtgt賬戶被禁用且不使用，所以密碼很少更改，微軟Kerberos將與用戶名有關的兩個曾用明碼存在內存中。

在博客中，博主指出可以獲取密鑰的多種方法，且一旦拿到了密鑰，攻擊者在用戶驗證前有20分鐘的自由時間，在此期間，黃金通行證可以創建無限的訪問。

該漏洞使用偽造的PAC或生成對只對軟Kerberos(而不對MIT Kerberos)造成影響的金/銀通行證，因為微軟使用專有PAC授權擴展。

麻省理工學院企業架構師Jeff Schiller和Kerberos認證系統的創始人一員證實了這種身份驗證漏洞是針對微軟的Kerberos的。

“ktbtgt用戶賬戶應該具備一個不是密碼的密鑰。在MIT部署中，它是隨機選擇的。”Schiller說道，“Kerberos的要求之一是KDC必須是安全的。它包含著所有的用戶隱私。如果KDC被攻陷，那么一切都玩完。將KDC置于帶有很多其他服務的域控制器中增加了攻擊風險，使得攻擊者更有攻擊的機會。”

根據該博客，為ktbtgt賬戶連續更改兩次密碼可阻止新的通行生成，依次定期修改密碼可降低曝光的風險，因為在緩解攻擊方面沒有什么特別奏效的方式。

“緩解大部分這些攻擊不太可能，因為這還只是Kerberos在Windows環境中的工作。大多數情況下，你要不惜代價關注于保護特權賬戶，因為保護所有賬戶是不太可能的，況且這是攻擊者所好。否則你將失去更多。目前最有效的緩解措施當屬保護用戶組(Protected Users group)和認證衛士(Credential Guard)。”