AS-REP Roasting
Qu'est-ce que AS-REP Roasting ?
AS-REP RoastingAttaque sur Active Directory qui demande les messages AS-REP Kerberos de comptes dont la préauthentification est désactivée, puis casse hors ligne le bloc chiffré renvoyé pour retrouver le mot de passe.
L'AS-REP Roasting est une attaque de cassage de mots de passe hors ligne visant les comptes Active Directory dont la préauthentification Kerberos est désactivée (l'indicateur « Ne pas exiger la préauthentification Kerberos », DONT_REQ_PREAUTH). Normalement, la préauthentification oblige le client à prouver qu'il connaît son mot de passe avant que le centre de distribution de clés (KDC) ne délivre un ticket d'authentification. Lorsqu'elle est désactivée, tout attaquant non authentifié peut demander au KDC un AS-REP pour ce compte ; une partie de la réponse est chiffrée avec une clé dérivée du hachage du mot de passe de l'utilisateur. L'attaquant capture ce bloc et le soumet à des outils tels que Hashcat (mode 18200) ou John the Ripper pour casser hors ligne les mots de passe faibles, sans provoquer de verrouillage de compte. Contrairement au Kerberoasting, l'attaque ne nécessite même pas de compte de domaine valide pour énumérer les utilisateurs vulnérables. Les défenses consistent à éviter l'indicateur de préauthentification désactivée, à imposer des mots de passe robustes et à surveiller les requêtes AS-REQ dépourvues de préauthentification.
● Exemples
- 01
Un pentester exécute Rubeus asreproast pour lister les comptes de domaine sans préauthentification et exporte les hachages en vue d'un cassage hors ligne.
- 02
GetNPUsers.py d'Impacket récupère les hachages AS-REP des utilisateurs vulnérables, ensuite cassés avec Hashcat en mode 18200.
● Questions fréquentes
Qu'est-ce que AS-REP Roasting ?
Attaque sur Active Directory qui demande les messages AS-REP Kerberos de comptes dont la préauthentification est désactivée, puis casse hors ligne le bloc chiffré renvoyé pour retrouver le mot de passe. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie AS-REP Roasting ?
Attaque sur Active Directory qui demande les messages AS-REP Kerberos de comptes dont la préauthentification est désactivée, puis casse hors ligne le bloc chiffré renvoyé pour retrouver le mot de passe.
Comment fonctionne AS-REP Roasting ?
L'AS-REP Roasting est une attaque de cassage de mots de passe hors ligne visant les comptes Active Directory dont la préauthentification Kerberos est désactivée (l'indicateur « Ne pas exiger la préauthentification Kerberos », DONT_REQ_PREAUTH). Normalement, la préauthentification oblige le client à prouver qu'il connaît son mot de passe avant que le centre de distribution de clés (KDC) ne délivre un ticket d'authentification. Lorsqu'elle est désactivée, tout attaquant non authentifié peut demander au KDC un AS-REP pour ce compte ; une partie de la réponse est chiffrée avec une clé dérivée du hachage du mot de passe de l'utilisateur. L'attaquant capture ce bloc et le soumet à des outils tels que Hashcat (mode 18200) ou John the Ripper pour casser hors ligne les mots de passe faibles, sans provoquer de verrouillage de compte. Contrairement au Kerberoasting, l'attaque ne nécessite même pas de compte de domaine valide pour énumérer les utilisateurs vulnérables. Les défenses consistent à éviter l'indicateur de préauthentification désactivée, à imposer des mots de passe robustes et à surveiller les requêtes AS-REQ dépourvues de préauthentification.
Comment se défendre contre AS-REP Roasting ?
Les défenses contre AS-REP Roasting combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de AS-REP Roasting ?
Noms alternatifs courants : ASREP Roasting, AS-REP Roast.
● Termes liés
- attacks№ 654
Kerberoasting
Attaque de mot de passe hors ligne qui demande des tickets de service Kerberos pour des comptes de service et casse la portion chiffree afin de retrouver le mot de passe en clair.
- identity-access№ 655
Kerberos
Protocole d'authentification réseau à base de tickets utilisant la cryptographie symétrique et un Centre de Distribution de Clés de confiance pour offrir une authentification unique sécurisée.
- identity-access№ 014
Active Directory
Service d'annuaire d'entreprise de Microsoft pour les réseaux Windows, qui assure l'authentification, l'autorisation et la gestion centralisée des stratégies pour utilisateurs, machines et ressources.
- defense-ops№ 255
Accès aux identifiants
Tactique MITRE ATT&CK (TA0006) couvrant les techniques utilisées pour voler des noms de compte, mots de passe, jetons et autres secrets.
- attacks№ 888
Pass-the-Hash
Attaque par reutilisation d'identifiants qui s'authentifie sur des systemes Windows en utilisant un hash NTLM derobe a la place du mot de passe en clair.
- attacks№ 500
Golden Ticket
TGT Kerberos forge a l'aide du hash du compte krbtgt, permettant a un attaquant d'usurper n'importe quel principal du domaine.