Qu'est-ce que la torréfaction AS-REP ?

La torréfaction de la réponse du serveur d'authentification (AS-REP) est une attaque visant les comptes Active Directory dont la préauthentification Kerberos est désactivée. Les attaquants peuvent demander une AS-REP Kerberos pour ces comptes et capturer le ticket renvoyé, crypté par mot de passe, puis forcer brutalement les informations d'identification hors ligne. Cette attaque est couramment utilisée pour élever les privilèges lors de campagnes de ransomware ou autres, en particulier lorsque les comptes privilégiés ou de service sont mal configurés.

Comment puis-je me défendre contre le "AS-REP Roasting" ?

Commencez par utiliser les outils de Semperis comme Semperis Purple Knight ou Directory Services Protector (DSP) pour identifier les comptes dont la préauthentification Kerberos est désactivée. Ces produits fournissent un indicateur de sécurité qui vous signale le problème.

Indicateur d'exposition (IOE) : Utilisateurs dont la préauthentification Kerberos est désactivée.
- Catégorie : Sécurité des comptes
- Cadres : MITRE ATT&CK : Credential Access, ANSSI : vuln1_kerberos_properties_preauth_priv, vuln2_kerberos_properties_preauth

Ensuite, il faut déterminer quels sont les comptes qui nécessitent réellement la désactivation de la préauthentification Kerberos. Sensibilisez les responsables informatiques aux risques et limitez la désactivation de la préauthentification à de rares cas anciens.

Ensuite, déterminez si la préauthentification peut être activée sur les comptes vulnérables restants afin de réduire le risque d'attaques telles que l'AS-REP Roasting. Vous pouvez utiliser des scripts PowerShell pour activer la préauthentification sur ces comptes.

A noter que Purple Knight fournit un instantané ponctuel des utilisateurs vulnérables, alors que la DSP permet une surveillance continue ainsi que des notifications et un retour en arrière automatisés en cas de modifications risquées ou inattendues des objets d'Active Directory.

Sans surveillance automatisée, vous devrez être attentif aux signes d'une attaque de type AS-REP Roasting, tels que les événements Windows ID 4768 avec :

Type de préautorisation 0
Nom du service krbtgt
Type de cryptage du ticket 0x17

En savoir plus sur la torréfaction AS-REP

Les ressources suivantes fournissent plus d'informations sur l'AS-REP Roasting et sur la façon de le détecter et de s'en défendre.

Nouveau rapport TEI de Forrester : Semperis réduit les temps d'arrêt de 90 % et fait économiser des millions à ses clients

Le rapport 2025 sur les risques liés aux ransomwares révèle de nouvelles tendances en matière d'attaques

Semperis remporte le prestigieux Partner Program Guide de CRN trois années de suite

Semperis figure sur la liste annuelle des meilleurs lieux de travail du magazine Inc. Magazine pour la quatrième année consécutive.

AS-REP Torréfaction