Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Glossaire de la cybersécurité Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Piratage des mots de passe Active Directory avec AS-REP Roasting

Piratage des mots de passe Active Directory avec AS-REP Roasting

Nov 3, 2022

Une manière critique par laquelle les attaquants accèdent à un environnement informatique et escaladent leurs privilèges est en volant les hachages de mot de passe des utilisateurs et en les craquant hors ligne. Nous avons couvert une méthode pour récolter les mots de passe des comptes de service dans notre article sur le Kerberoasting. Ici, nous explorerons une technique qui fonctionne contre certains comptes utilisateurs, le AS-REP Roasting. Nous aborderons comment les adversaires réalisent le AS-REP Roasting en utilisant l'outil Rubeus et comment vous pouvez défendre votre organisation contre ces attaques.

Qu'est-ce que le AS-REP Roasting ?

AS-REP Roasting est une technique qui permet aux adversaires de voler les hachages de mot de passe des comptes utilisateurs qui ont la préauthentification Kerberos désactivée, qu'ils peuvent ensuite essayer de craquer hors ligne.

Lorsque la préauthentification est activée, un utilisateur qui a besoin d'accéder à une ressource commence le processus d'authentification Kerberos en envoyant un message de demande de serveur d'authentification (AS-REQ) au contrôleur de domaine (DC). L'horodatage de ce message est chiffré avec le hachage du mot de passe de l'utilisateur. Si le DC peut déchiffrer cet horodatage en utilisant son propre enregistrement du hachage du mot de passe de l'utilisateur, il renverra un message de réponse du serveur d'authentification (AS-REP) qui contient un Ticket Granting Ticket (TGT) émis par le Key Distribution Center (KDC), qui est utilisé pour les futures demandes d'accès de l'utilisateur.

Toutefois, si la préauthentification est désactivée, un attaquant pourrait demander des données d'authentification pour n'importe quel utilisateur et le contrôleur de domaine renverrait un message AS-REP. Étant donné qu'une partie de ce message est chiffrée en utilisant le mot de passe de l'utilisateur, l'attaquant peut alors tenter de forcer le mot de passe de l'utilisateur hors ligne.

Heureusement, la préauthentification est activée par défaut dans Active Directory. Cependant, elle peut être désactivée pour un compte utilisateur en utilisant le paramètre indiqué ci-dessous :

Image

Réalisation du AS-REP Roasting avec Rubeus

En utilisant Rubeus, vous pouvez facilement réaliser un AS-REP Roasting pour voir comment cette attaque fonctionnerait dans votre environnement. Il suffit de lancer la commande suivante :

      Rubeus.exe asreproast

Cela trouvera automatiquement tous les comptes qui ne nécessitent pas de préauthentification et extraira leurs hachages AS-REP pour le craquage hors ligne, comme montré ici :

Image

Prenons cet exemple un peu plus loin et extrayons les données dans un format qui peut être craqué hors ligne par Hashcat. Cette commande va exporter les informations du hash AS-REP dans un fichier texte :

      Rubeus.exe asreproast /format:hashcat /outfile:C:\Temp\hashes.txt

Ensuite, il est simple d'utiliser Hashcat pour craquer les hachages trouvés. Nous devons simplement spécifier le bon code de mode de hachage pour les hachages AS-REP, notre fichier de hachage et un dictionnaire à utiliser pour effectuer la devinette de mot de passe par force brute :

      hashcat64.exe -m 18200 c:\Temp\hashes.txt example.dict
Image

Protection contre le Roasting AS-REP

Comme vous pouvez le voir, l'AS-REP Roasting offre un moyen simple de voler les hachages de mot de passe des comptes utilisateurs qui ne nécessitent pas de préauthentification, sans privilèges spéciaux requis. Heureusement, il existe plusieurs méthodes efficaces pour se défendre contre ces attaques.

Demandez un essai gratuit de Netwrix Access Analyzer

Identifier les comptes qui ne nécessitent pas de préauthentification

La meilleure façon de bloquer les attaques AS-REP Roasting est de trouver tous les comptes d'utilisateurs configurés pour ne pas nécessiter de préauthentification Kerberos, puis d'activer ce paramètre. Ce script trouvera ces comptes vulnérables :

      Get-ADUser -Filter 'useraccountcontrol -band 4194304' -Properties useraccountcontrol | Format-Table name

La sortie ressemble à ceci :

Image

Force du mot de passe

Une autre protection efficace contre les attaques AS-REP Roasting consiste à exiger des mots de passe longs et complexes, difficiles à craquer même si un adversaire parvient à les voler. L'utilisation de politiques de mots de passe à grain fin — en particulier pour les comptes privilégiés — est une excellente première étape.

Privilèges AD

Il est également crucial de savoir quels comptes d'utilisateur disposent des autorisations nécessaires pour modifier le paramètre qui contrôle si la préauthentification est activée, car ils pourraient la désactiver juste assez longtemps pour obtenir le hash AS-REP, puis la réactiver. Cette requête listera tous les droits d'accès sur les comptes d'utilisateur qui ne nécessitent pas de préauthentification :

      (Get-ACL "AD:\$((Get-ADUser -Filter 'useraccountcontrol -band 4194304').distinguishedname)").access
Image

Surveillance des changements

Enfin, vous devriez également surveiller la désactivation de la pré-authentification Kerberos. L'événement 4738 consigne les modifications apportées à ce paramètre utilisateur :

Image

Alternativement, vous pouvez surveiller l'ID d'événement 5136 :

Image

Comment Netwrix peut-il aider ?

Sécurisez votre Active Directory de bout en bout avec la Netwrix Active Directory Security Solution. Cela vous permettra de :

  • Découvrez les risques de sécurité dans Active Directory et priorisez vos efforts d'atténuation.
  • Renforcez les configurations de sécurité à travers votre infrastructure informatique.
  • Détectez et contenez rapidement même les menaces avancées, telles que le Kerberoasting, le DCSync , l'extraction de NTDS.dit et les attaques par Golden Ticket.
  • Répondez instantanément aux menaces connues avec des options de réponse automatisées.
  • Minimisez les perturbations commerciales avec une récupération rapide d'Active Directory.

FAQ

Que signifie AS-REP ?

AS-REP signifie Message de Réponse du Service d'Authentification (AS). C'est un type de message transmis entre un serveur et un client pendant l'authentification Kerberos.

Quels utilisateurs sont vulnérables au AS-REP roasting ?

Le AS-REP Roasting ne peut être utilisé que contre des comptes d'utilisateurs qui ont la préauthentification Kerberos désactivée

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Joe Dibley

Chercheur en sécurité

Chercheur en sécurité chez Netwrix et membre de l'équipe de recherche en sécurité de Netwrix. Joe est un expert en Active Directory, Windows et une grande variété de plateformes logicielles d'entreprise et de technologies, Joe étudie les nouveaux risques de sécurité, les techniques d'attaque complexes, ainsi que les atténuations et détections associées.

Derniers blogs

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité