Descifrando contraseñas de Active Directory con AS-REP Roasting

Una forma crítica en la que los atacantes obtienen acceso a un entorno de TI y escalan sus privilegios es robando los hashes de contraseñas de usuario y descifrando estas fuera de línea. Cubrimos un método para recolectar contraseñas de cuentas de servicio en nuestra publicación sobre Kerberoasting. Aquí exploraremos una técnica que funciona contra ciertas cuentas de usuario, AS-REP Roasting. Cubriremos cómo los adversarios realizan AS-REP Roasting utilizando la herramienta Rubeus y cómo puedes defender tu organización contra estos ataques.

¿Qué es AS-REP Roasting?

AS-REP Roasting es una técnica que permite a los adversarios robar los hashes de contraseña de cuentas de usuario que tienen la preautenticación de Kerberos deshabilitada, lo cual luego pueden intentar descifrar de manera offline.

Cuando la preautenticación está habilitada, un usuario que necesita acceso a un recurso inicia el proceso de autenticación Kerberos enviando un mensaje de Solicitud de Servidor de Autenticación (AS-REQ) al controlador de dominio (DC). La marca de tiempo de ese mensaje está cifrada con el hash de la contraseña del usuario. Si el DC puede descifrar esa marca de tiempo utilizando su propio registro del hash de la contraseña del usuario, enviará de vuelta un mensaje de Respuesta del Servidor de Autenticación (AS-REP) que contiene un Ticket de Concesión de Ticket (TGT) emitido por el Centro de Distribución de Claves (KDC), que se utiliza para futuras solicitudes de acceso por parte del usuario.

Sin embargo, si la preautenticación está desactivada, un atacante podría solicitar datos de autenticación para cualquier usuario y el DC devolvería un mensaje AS-REP. Dado que parte de ese mensaje está cifrado utilizando la contraseña del usuario, el atacante puede entonces intentar forzar la contraseña del usuario fuera de línea.

Afortunadamente, la preautenticación está habilitada por defecto en Active Directory. Sin embargo, se puede deshabilitar para una cuenta de usuario utilizando la configuración que se muestra a continuación:

Realizando AS-REP Roasting con Rubeus

Con Rubeus, puedes realizar fácilmente AS-REP Roasting para ver cómo funcionaría este ataque en tu entorno. Simplemente emite el siguiente comando:

      Rubeus.exe asreproast
      

Esto encontrará automáticamente todas las cuentas que no requieren preautenticación y extraerá sus hashes AS-REP para descifrado offline, como se muestra aquí:

Avancemos un paso más con este ejemplo y extraigamos los datos en un formato que pueda ser descifrado fuera de línea por Hashcat. Este comando mostrará la información del hash AS-REP en un archivo de texto:

      Rubeus.exe asreproast /format:hashcat /outfile:C:\Temp\hashes.txt
      

Entonces es sencillo utilizar Hashcat para descifrar los hashes que se encontraron. Simplemente necesitamos especificar el código de modo de hash correcto para los hashes AS-REP, nuestro archivo de hashes y un diccionario para usar para realizar la adivinación de contraseñas por fuerza bruta:

      hashcat64.exe -m 18200 c:\Temp\hashes.txt example.dict
      

Protección contra AS-REP Roasting

Como puede ver, AS-REP Roasting ofrece una manera sencilla de robar los hashes de contraseñas de cuentas de usuario que no requieren preautenticación, sin necesidad de privilegios especiales. Afortunadamente, existen varios métodos efectivos para defenderse contra estos ataques.

Identificar cuentas que no requieren preautenticación

La mejor manera de bloquear los ataques de AS-REP Roasting es encontrar todas las cuentas de usuario que están configuradas para no requerir preautenticación de Kerberos y luego activar esta configuración. Este script encontrará estas cuentas vulnerables:

      Get-ADUser -Filter 'useraccountcontrol -band 4194304' -Properties useraccountcontrol | Format-Table name
      

La salida se ve así:

Fuerza de la contraseña

Otra sólida protección contra los ataques de AS-REP Roasting es requerir contraseñas largas y complejas que sean difíciles de descifrar incluso si un adversario logra robarlas. Usar políticas de contraseñas de granularidad fina — especialmente para cuentas privilegiadas — es un excelente primer paso.

Privilegios de AD

También es crucial saber qué cuentas de usuario tienen los permisos necesarios para modificar la configuración que controla si la preautenticación está habilitada, ya que podrían desactivarla el tiempo suficiente para obtener el hash AS-REP y luego activarla de nuevo. Esta consulta enumerará todos los derechos de acceso sobre cuentas de usuario que no requieren preautenticación:

      (Get-ACL "AD:\$((Get-ADUser -Filter 'useraccountcontrol -band 4194304').distinguishedname)").access
      

Monitoreo de Cambios

Finalmente, también debería monitorear la desactivación de la preautenticación de Kerberos. El evento 4738 registra los cambios en esta configuración de usuario:

Alternativamente, puede monitorear el ID de evento 5136:

¿Cómo puede ayudar Netwrix?

Asegure su Active Directory de principio a fin con la Netwrix Active Directory Security Solution. Esto le permitirá:

• Descubra riesgos de seguridad en Active Directory y priorice sus esfuerzos de mitigación.
• Refuerce las configuraciones de seguridad en toda su infraestructura de TI.
• Detecte y contenga rápidamente amenazas avanzadas, como Kerberoasting, DCSync , extracción de NTDS.dit y ataques de Golden Ticket.
• Responda a amenazas conocidas al instante con opciones de respuesta automatizadas.
• Minimice las interrupciones del negocio con una rápida recuperación de Active Directory.

FAQ

¿Qué significa AS-REP?

AS-REP significa Mensaje de Respuesta del Servicio de Autenticación (AS). Es un tipo de mensaje transmitido entre un servidor y un cliente durante la autenticación Kerberos.

¿Qué usuarios son vulnerables al AS-REP roasting?

AS-REP Roasting solo se puede utilizar contra cuentas de usuario que tienen la preautenticación de Kerberos deshabilitada