AS-REP

AS-REP
Photo by Dip Devices / Unsplash

AS-REP Roasting is een techniek die wordt gebruikt door aanvallers om kwetsbare Kerberos-service accounts in een Active Directory-omgeving te exploiteren.

AS-REP staat voor "Authentication Service Reply", en verwijst naar een onderdeel van het Kerberos-authenticatieproces. Wanneer een client (de gebruiker) een service probeert te benaderen, vraagt het eerst de Key Distribution Center (KDC) om een Ticket Granting Ticket (TGT). Dit proces genereert een AS-REP bericht dat het KDC naar de client stuurt.

Standaard is het pre-authenticatieproces ingeschakeld in Kerberos. Dit betekent dat de client eerst een timestamp versleuteld met zijn wachtwoord naar het KDC moet sturen als een vorm van bewijs van de identiteit. Echter, als pre-authenticatie is uitgeschakeld voor een account, dan zal het KDC de AS-REP (inclusief een versleuteld deel van het wachtwoord van het account) naar iedereen sturen die erom vraagt.

Hier komt het risico van AS-REP Roasting in beeld. Als een aanvaller erachter komt dat een account pre-authenticatie heeft uitgeschakeld, dan kan de aanvaller een AS-REP bericht aanvragen, dit bericht onderscheppen en offline kraken om het wachtwoord van de account te achterhalen. Dit kan vervolgens worden gebruikt om zichzelf te authenticeren als die gebruiker en mogelijk andere kwaadaardige acties uit te voeren, afhankelijk van de rechten van het account.

AS-REP Roasting is vergelijkbaar met Kerberoasting, maar het verschil zit in het feit dat Kerberoasting misbruik maakt van onveilige versleuteling van service tickets, terwijl AS-REP Roasting misbruik maakt van accounts waarbij pre-authenticatie is uitgeschakeld.

Om je tegen deze aanval te verdedigen, moet je ervoor zorgen dat pre-authenticatie is ingeschakeld voor alle accounts in je Active Directory-omgeving. Het is ook aanbevolen om sterke wachtwoorden te gebruiken en regelmatige audits uit te voeren om te controleren op kwetsbare accounts.