O que é a torrefação AS-REP?

O Authentication Server Response (AS-REP) Roasting é um ataque que visa as contas do Active Diretory que têm a pré-autenticação Kerberos desactivada. Os atacantes podem pedir um AS-REP Kerberos para estas contas e capturar o bilhete devolvido, encriptado com a palavra-passe - e depois fazer força bruta para obter as credenciais offline. Este ataque é normalmente utilizado para aumentar os privilégios durante campanhas de ransomware ou outras, especialmente quando as contas privilegiadas ou de serviço estão mal configuradas.

Como posso defender-me do AS-REP Roasting?

Comece por utilizar as ferramentas da Semperis, como a Semperis Purple Knight ou Directory Services Protector (DSP) para identificar contas com a pré-autenticação Kerberos desactivada. Estes produtos fornecem um indicador de segurança para o alertar para o problema.

Indicador de exposição (IOE): Utilizadores com a pré-autenticação Kerberos desactivada.
- Categoria: Segurança da conta
- Estruturas: MITRE ATT&CK: Acesso a credenciais, ANSSI: vuln1_kerberos_properties_preauth_priv, vuln2_kerberos_properties_preauth

Em seguida, determine quais as contas que requerem efetivamente a desativação da pré-autenticação Kerberos. Informe os intervenientes de TI sobre os riscos e restrinja a desativação da pré-autenticação a casos raros de legado.

Em seguida, determine se a pré-autenticação pode ser activada nas restantes contas vulneráveis para reduzir o risco de ataques como o AS-REP Roasting. Pode utilizar scripts do PowerShell para ativar a pré-autenticação nessas contas.

Note-se que Purple Knight fornece um instantâneo pontual dos utilizadores vulneráveis, enquanto o DSP permite a monitorização contínua e notificações automatizadas e a reversão de alterações arriscadas ou inesperadas aos objectos do Active Diretory.

Sem monitorização automatizada, terá de estar atento a sinais de um ataque AS-REP Roasting, tais como eventos Windows event ID 4768 com:

Tipo de pré-autorização 0
Nome do serviço krbtgt
Tipo de encriptação do bilhete 0x17

Saiba mais sobre a torrefação AS-REP

Os seguintes recursos fornecem mais informações sobre o AS-REP Roasting e como detetar e se defender contra ele.

Novo relatório TEI da Forrester: A Semperis reduz o tempo de inatividade em 90%, poupando milhões aos clientes

Relatório de risco de ransomware de 2025 revela novas tendências de ataque

Semperis ganha o prestigiado Guia do Programa de Parceiros da CRN por três anos consecutivos

A Semperis foi nomeada para a lista anual de melhores empresas para trabalhar da Inc. Lista Anual das Melhores Empresas para Trabalhar da revista Inc. pelo quarto ano consecutivo

Torrefação AS-REP