Análise Técnica
AS-REP Roasting é uma técnica irmã do Kerberoasting, mas foca na primeira etapa da autenticação Kerberos: o Authentication Service Request (AS-REQ). Por padrão, o Kerberos exige pré-autenticação, onde o usuário criptografa um timestamp com sua senha para provar sua identidade antes que o KDC responda.
No entanto, existe uma flag no objeto de usuário do AD chamada DONT_REQ_PREAUTH (“Do not require Kerberos preauthentication”). Se ativada, qualquer um pode enviar um AS-REQ em nome desse usuário, e o KDC responderá imediatamente com um AS-REP. Parte dessa resposta é criptografada com a chave do usuário alvo. Um atacante pode capturar esse pacote e tentar quebrar a seção criptografada offline para revelar a senha. Isso é perigoso porque permite obter hashes de senhas sem sequer precisar interceptar tráfego de rede ativo ou interagir com a vítima logada.
Mapeamento e Exploração com Metasploit
O Metasploit possui módulos dedicados para identificar e explorar essa configuração insegura.
- Módulo: auxiliary/gather/asrep
- Vetor de Ataque: LDAP e Kerberos.
- Capacidade: Enumeração de usuários vulneráveis e extração automática do hash para cracking.
Cenário de Exploração Detalhado:
- Identificação e Extração:
O operador utiliza o módulo auxiliary/gather/asrep. Este módulo primeiro realiza uma consulta LDAP para encontrar usuários com a flag de pré-autenticação desativada. Em seguida, ele forja a solicitação AS-REQ para esses usuários.
Bash
msf6 > use auxiliary/gather/asrep
msf6 auxiliary(asrep) > set RHOSTS 192.168.10.5
msf6 auxiliary(asrep) > set SMBUser usuario.comum
msf6 auxiliary(asrep) > set SMBPass senha
msf6 auxiliary(asrep) > run - Resultado:
O módulo exibe a saída contendo os hashes no formato $krb5asrep$23$…. Esses hashes representam a resposta criptografada do KDC. - Cracking:
O atacante copia os hashes para um arquivo e utiliza o Hashcat (modo 18200) ou John the Ripper. Se a conta vulnerável tiver uma senha fraca, o atacante obtém acesso total a essa identidade. Frequentemente, contas legadas ou de serviço mal configuradas têm essa flag ativada e senhas fracas.
Remediação e Defesa em Profundidade
- Auditoria de Configuração: A medida mais eficaz é realizar uma varredura no AD para identificar contas com UserAccountControl contendo a flag DONT_REQ_PREAUTH e desativá-la imediatamente, a menos que estritamente necessário para compatibilidade com sistemas muito antigos (pré-Windows 2000).
- Higiene de Senhas: Para contas onde a pré-autenticação não pode ser ativada, usar senhas extremamente longas e complexas.
- Monitoramento: O Evento ID 4768 (Kerberos Authentication Service Ticket Request) deve ser monitorado. Especificamente, procure por tipos de encriptação fracos ou solicitações sem pré-autenticação vindas de fontes incomuns.
Apaixonado por tecnologia e segurança cibernética, com mais de 17 anos de experiencia na área atuando tecnicamente como Analista de Suporte de TI, Desenvolvedor, Infraetrutura e Segurança da Informação. Com sólida trajetória na área de Tecnologia da Informação e foco em Cibersegurança, dedico-me a identificar e mitigar vulnerabilidades críticas que ameaçam a continuidade de negócios, assim como atuo na governança baseada nos principais frameworks (ISO/IEC27001, ISO/IEC42000, NIST 800-115, PCIDSS etc.).
No responses yet