AS-REP Roasting.

Атака на Active Directory, при которой запрашиваются сообщения Kerberos AS-REP для учётных записей с отключённой предварительной аутентификацией, а возвращённый шифрованный блок взламывается офлайн для восстановления пароля. Относится к категории Атаки и угрозы в кибербезопасности.

Атака на Active Directory, при которой запрашиваются сообщения Kerberos AS-REP для учётных записей с отключённой предварительной аутентификацией, а возвращённый шифрованный блок взламывается офлайн для восстановления пароля.

AS-REP Roasting — это атака офлайн-подбора паролей против учётных записей Active Directory, у которых отключена предварительная аутентификация Kerberos (флаг «Не требовать предварительную проверку подлинности Kerberos», DONT_REQ_PREAUTH). Обычно предварительная аутентификация требует, чтобы клиент доказал знание своего пароля до того, как центр распределения ключей (KDC) выдаст билет аутентификации. Когда она отключена, любой неаутентифицированный злоумышленник может запросить у KDC AS-REP для этой учётной записи; часть ответа зашифрована ключом, производным от хеша пароля пользователя. Злоумышленник перехватывает этот блок и прогоняет его через инструменты вроде Hashcat (режим 18200) или John the Ripper, чтобы офлайн взломать слабые пароли, не вызывая блокировки учётных записей. В отличие от Kerberoasting, атака не требует даже действующей доменной учётной записи для перечисления уязвимых пользователей. Защита включает отказ от флага отключённой предварительной аутентификации, требование надёжных паролей и мониторинг запросов AS-REQ без предварительной аутентификации.

Защита от AS-REP Roasting обычно сочетает технические меры и операционные практики, как описано в определении выше.

Распространённые альтернативные названия: ASREP Roasting, AS-REP Roast.