AS-REP Roasting
O que é AS-REP Roasting?
AS-REP RoastingAtaque ao Active Directory que solicita mensagens AS-REP do Kerberos de contas com a pré-autenticação desativada e depois quebra offline o bloco cifrado devolvido para recuperar a palavra-passe.
O AS-REP Roasting é um ataque de quebra de palavras-passe offline contra contas do Active Directory que têm a pré-autenticação Kerberos desativada (a flag «Não exigir pré-autenticação Kerberos», DONT_REQ_PREAUTH). Normalmente, a pré-autenticação obriga o cliente a provar que conhece a sua palavra-passe antes de o Centro de Distribuição de Chaves (KDC) emitir um ticket de autenticação. Quando está desativada, qualquer atacante não autenticado pode pedir ao KDC um AS-REP para essa conta; parte da resposta é cifrada com uma chave derivada do hash da palavra-passe do utilizador. O atacante captura esse bloco e processa-o com ferramentas como o Hashcat (modo 18200) ou o John the Ripper para quebrar palavras-passe fracas offline, sem desencadear bloqueios de conta. Ao contrário do Kerberoasting, nem sequer exige uma conta de domínio válida para enumerar utilizadores vulneráveis. As defesas incluem evitar a flag de pré-autenticação desativada, impor palavras-passe robustas e monitorizar pedidos AS-REQ sem pré-autenticação.
● Exemplos
- 01
Um pentester executa o Rubeus asreproast para listar contas de domínio com a pré-autenticação desativada e exporta os hashes para quebra offline.
- 02
O GetNPUsers.py do Impacket obtém hashes AS-REP de utilizadores vulneráveis, depois quebrados com o Hashcat no modo 18200.
● Perguntas frequentes
O que é AS-REP Roasting?
Ataque ao Active Directory que solicita mensagens AS-REP do Kerberos de contas com a pré-autenticação desativada e depois quebra offline o bloco cifrado devolvido para recuperar a palavra-passe. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa AS-REP Roasting?
Ataque ao Active Directory que solicita mensagens AS-REP do Kerberos de contas com a pré-autenticação desativada e depois quebra offline o bloco cifrado devolvido para recuperar a palavra-passe.
Como funciona AS-REP Roasting?
O AS-REP Roasting é um ataque de quebra de palavras-passe offline contra contas do Active Directory que têm a pré-autenticação Kerberos desativada (a flag «Não exigir pré-autenticação Kerberos», DONT_REQ_PREAUTH). Normalmente, a pré-autenticação obriga o cliente a provar que conhece a sua palavra-passe antes de o Centro de Distribuição de Chaves (KDC) emitir um ticket de autenticação. Quando está desativada, qualquer atacante não autenticado pode pedir ao KDC um AS-REP para essa conta; parte da resposta é cifrada com uma chave derivada do hash da palavra-passe do utilizador. O atacante captura esse bloco e processa-o com ferramentas como o Hashcat (modo 18200) ou o John the Ripper para quebrar palavras-passe fracas offline, sem desencadear bloqueios de conta. Ao contrário do Kerberoasting, nem sequer exige uma conta de domínio válida para enumerar utilizadores vulneráveis. As defesas incluem evitar a flag de pré-autenticação desativada, impor palavras-passe robustas e monitorizar pedidos AS-REQ sem pré-autenticação.
Como se defender contra AS-REP Roasting?
As defesas contra AS-REP Roasting costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para AS-REP Roasting?
Nomes alternativos comuns: ASREP Roasting, AS-REP Roast.
● Termos relacionados
- attacks№ 654
Kerberoasting
Ataque offline de palavras-passe que solicita tickets de servico Kerberos para contas de servico e quebra a parte cifrada para recuperar as palavras-passe em claro.
- identity-access№ 655
Kerberos
Protocolo de autenticação de rede baseado em tickets que utiliza criptografia simétrica e um Centro de Distribuição de Chaves confiável para oferecer SSO seguro entre serviços.
- identity-access№ 014
Active Directory
Serviço de diretório empresarial da Microsoft para redes Windows, que fornece autenticação, autorização e gestão de políticas centralizada para utilizadores, computadores e recursos.
- defense-ops№ 255
Acesso a Credenciais
Tática MITRE ATT&CK (TA0006) que reúne técnicas usadas para roubar nomes de conta, palavras-passe, tokens e outros segredos.
- attacks№ 888
Pass-the-Hash
Ataque de reutilizacao de credenciais que se autentica em sistemas Windows usando um hash NTLM roubado em vez da senha em texto claro.
- attacks№ 500
Golden Ticket
TGT Kerberos forjado, assinado com o hash da conta krbtgt, que permite ao atacante personificar qualquer principal do dominio.