AS-REP Roasting.

Ataque a Active Directory que solicita mensajes AS-REP de Kerberos de cuentas con la preautenticación desactivada y luego descifra el bloque cifrado sin conexión para recuperar la contraseña. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.

Ataque a Active Directory que solicita mensajes AS-REP de Kerberos de cuentas con la preautenticación desactivada y luego descifra el bloque cifrado sin conexión para recuperar la contraseña.

AS-REP Roasting es un ataque de descifrado de contraseñas sin conexión contra cuentas de Active Directory que tienen desactivada la preautenticación de Kerberos (el indicador «No requerir preautenticación Kerberos», DONT_REQ_PREAUTH). Normalmente, la preautenticación obliga al cliente a demostrar que conoce su contraseña antes de que el Centro de Distribución de Claves (KDC) emita un ticket de autenticación. Cuando está desactivada, cualquier atacante no autenticado puede pedir al KDC un AS-REP para esa cuenta; parte de la respuesta se cifra con una clave derivada del hash de la contraseña del usuario. El atacante captura ese bloque y lo procesa con herramientas como Hashcat (modo 18200) o John the Ripper para recuperar contraseñas débiles sin conexión y sin provocar bloqueos de cuenta. A diferencia de Kerberoasting, ni siquiera requiere una cuenta de dominio válida para enumerar usuarios vulnerables. Las defensas incluyen evitar el indicador de preautenticación desactivada, exigir contraseñas robustas y monitorizar las solicitudes AS-REQ sin preautenticación.

Las defensas contra AS-REP Roasting combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

Nombres alternativos comunes: ASREP Roasting, AS-REP Roast.