Che cos'è la tostatura AS-REP?

L'Authentication Server Response (AS-REP) Roasting è un attacco che prende di mira gli account Active Directory con pre-autenticazione Kerberos disabilitata. Gli aggressori possono richiedere un AS-REP Kerberos per questi account e catturare il ticket restituito, crittografato con password, per poi forzare le credenziali offline. Questo attacco viene comunemente utilizzato per aumentare i privilegi durante le campagne ransomware o di altro tipo, soprattutto quando gli account privilegiati o di servizio sono configurati in modo errato.

Come posso difendermi dall'AS-REP Roasting?

Iniziare a utilizzare gli strumenti Semperis, come Semperis Purple Knight o Directory Services Protector (DSP) per identificare gli account con pre-autenticazione Kerberos disabilitata. Questi prodotti forniscono un indicatore di sicurezza per segnalare il problema.

Indicatore di esposizione (IOE): Utenti con pre-autenticazione Kerberos disabilitata.
- Categoria: Sicurezza dell'account
- Quadri: MITRE ATT&CK: Accesso alle credenziali, ANSSI: vuln1_kerberos_properties_preauth_priv, vuln2_kerberos_properties_preauth

Quindi, determinare quali account richiedono effettivamente la disabilitazione della pre-autenticazione Kerberos. Informate gli stakeholder IT sui rischi e limitate la disabilitazione della pre-autenticazione a rari casi legacy.

Quindi, stabilire se è possibile abilitare la pre-autenticazione sugli account vulnerabili rimanenti per ridurre il rischio di attacchi come AS-REP Roasting. È possibile utilizzare gli script PowerShell per abilitare la pre-autenticazione su tali account.

Si noti che Purple Knight fornisce un'istantanea point-in-time degli utenti vulnerabili, mentre DSP consente un monitoraggio continuo e notifiche automatiche e rollback di modifiche rischiose o inaspettate agli oggetti di Active Directory.

In assenza di un monitoraggio automatico, è necessario osservare i segnali di un attacco AS-REP Roasting, ad esempio gli eventi Windows con ID 4768 con:

Tipo di pre-autenticazione 0
Nome del servizio krbtgt
Tipo di crittografia del biglietto 0x17

Per saperne di più sulla torrefazione AS-REP

Le seguenti risorse forniscono ulteriori informazioni sul Roasting AS-REP e su come individuarlo e difendersi da esso.

Nuovo rapporto Forrester TEI: Semperis riduce i tempi di inattività del 90%, facendo risparmiare milioni ai clienti

Il rapporto sul rischio di ransomware del 2025 rivela nuove tendenze di attacco

Semperis si aggiudica per tre anni consecutivi la prestigiosa Guida ai programmi per i partner di CRN

Semperis è stata inserita nella lista annuale dei migliori ambienti di lavoro della rivista Inc. La rivista Inc. è stata inserita nell'elenco annuale dei migliori ambienti di lavoro per il quarto anno consecutivo.

Tostatura AS-REP