Asado AS-REP

¿Qué es el tostado AS-REP?

Authentication Server Response (AS-REP) Roasting es un ataque dirigido a cuentas de Active Directory que tienen desactivada la preautenticación Kerberos. Los atacantes pueden solicitar una AS-REP de Kerberos para estas cuentas y capturar el ticket devuelto, cifrado con contraseña, para luego forzar las credenciales sin conexión. Este ataque se utiliza habitualmente para escalar privilegios durante campañas de ransomware o de otro tipo, especialmente cuando las cuentas privilegiadas o de servicio están mal configuradas.

¿Cómo puedo defenderme del AS-REP Roasting?

Empiece utilizando herramientas como Semperis Purple Knight o Directory Services Protector (DSP) para identificar cuentas con la preautenticación Kerberos desactivada. Estos productos proporcionan un indicador de seguridad para alertarle del problema.

• Indicador de exposición (IOE): Usuarios con preautenticación Kerberos desactivada.
  • Categoría: Seguridad de cuentas
  • Marcos: MITRE ATT&CK: Acceso a credenciales, ANSSI: vuln1_kerberos_properties_preauth_priv, vuln2_kerberos_properties_preauth

A continuación, determine qué cuentas requieren realmente la desactivación de la preautenticación Kerberos. Informe a las partes interesadas de TI sobre los riesgos y limite la desactivación de la preautenticación a casos heredados poco frecuentes.

A continuación, determine si se puede activar la preautenticación en las cuentas vulnerables restantes para reducir el riesgo de ataques como AS-REP Roasting. Puede utilizar scripts de PowerShell para activar la preautenticación en esas cuentas.

Tenga en cuenta que Purple Knight proporciona una instantánea puntual de los usuarios vulnerables, mientras que DSP permite una monitorización continua y notificaciones automatizadas, así como la reversión de cambios arriesgados o inesperados en los objetos de Active Directory.

Sin una supervisión automatizada, tendrá que estar atento a los signos de un ataque AS-REP Roasting, como los eventos de Windows ID 4768 con:

• Pre-Autenticación Tipo 0
• Nombre del servicio krbtgt
• Tipo de cifrado de billetes 0x17

Más información sobre AS-REP Roasting

Los siguientes recursos proporcionan más información sobre AS-REP Roasting y cómo detectarlo y defenderse de él.

• Explicación del tostado AS-REP
• Los ciberataques a hospitales ponen de relieve la importancia de la seguridad de Active Directory
• Auditoría y reversión de cambios en Active Directory