AS-REP Roasting.

Ein Active-Directory-Angriff, der Kerberos-AS-REP-Nachrichten für Konten mit deaktivierter Vorauthentifizierung anfordert und den zurückgegebenen verschlüsselten Block offline knackt, um das Passwort zu ermitteln. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.

Ein Active-Directory-Angriff, der Kerberos-AS-REP-Nachrichten für Konten mit deaktivierter Vorauthentifizierung anfordert und den zurückgegebenen verschlüsselten Block offline knackt, um das Passwort zu ermitteln.

AS-REP Roasting ist ein Offline-Passwort-Knackangriff gegen Active-Directory-Konten, bei denen die Kerberos-Vorauthentifizierung deaktiviert ist (das Flag „Keine Kerberos-Vorauthentifizierung erforderlich“, DONT_REQ_PREAUTH). Normalerweise zwingt die Vorauthentifizierung einen Client dazu, die Kenntnis seines Passworts nachzuweisen, bevor das Key Distribution Center (KDC) ein Authentifizierungsticket ausstellt. Ist sie abgeschaltet, kann jeder nicht authentifizierte Angreifer beim KDC ein AS-REP für dieses Konto anfordern; ein Teil der Antwort ist mit einem aus dem Passwort-Hash des Benutzers abgeleiteten Schlüssel verschlüsselt. Der Angreifer fängt diesen Block ab und lässt ihn von Werkzeugen wie Hashcat (Modus 18200) oder John the Ripper verarbeiten, um schwache Passwörter offline zu knacken, ohne Kontosperren auszulösen. Anders als beim Kerberoasting ist nicht einmal ein gültiges Domänenkonto nötig, um verwundbare Benutzer aufzuzählen. Schutzmaßnahmen sind das Vermeiden des Flags zur deaktivierten Vorauthentifizierung, das Erzwingen starker Passwörter und die Überwachung von AS-REQ-Anfragen ohne Vorauthentifizierung.

Schutzmaßnahmen gegen AS-REP Roasting kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Übliche alternative Bezeichnungen: ASREP Roasting, AS-REP Roast.