Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Glossario di Cybersecurity Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Violazione delle password di Active Directory con AS-REP Roasting

Violazione delle password di Active Directory con AS-REP Roasting

Nov 3, 2022

Un modo critico con cui gli aggressori ottengono accesso a un ambiente IT ed elevano i loro privilegi è rubando gli hash delle password degli utenti e decifrandoli offline. Abbiamo trattato un metodo per raccogliere le password degli account di servizio nel nostro post su Kerberoasting. Qui esploreremo una tecnica che funziona contro certi account utente, AS-REP Roasting. Copriremo come gli avversari eseguono l'AS-REP Roasting utilizzando lo strumento Rubeus e come potete difendere la vostra organizzazione da questi attacchi.

Cos'è l'AS-REP Roasting?

AS-REP Roasting è una tecnica che consente agli avversari di rubare gli hash delle password degli account utente che hanno la preautenticazione Kerberos disabilitata, che poi possono tentare di decifrare offline.

Quando l'autenticazione anticipata è abilitata, un utente che necessita di accedere a una risorsa inizia il processo di autenticazione Kerberos inviando un messaggio di Richiesta del Server di Autenticazione (AS-REQ) al controller di dominio (DC). Il timestamp di quel messaggio è criptato con l'hash della password dell'utente. Se il DC riesce a decifrare quel timestamp utilizzando il proprio registro dell'hash della password dell'utente, invierà indietro un messaggio di Risposta del Server di Autenticazione (AS-REP) che contiene un Ticket Granting Ticket (TGT) emesso dal Key Distribution Center (KDC), che viene utilizzato per le future richieste di accesso da parte dell'utente.

Tuttavia, se la preautenticazione è disabilitata, un attaccante potrebbe richiedere i dati di autenticazione per qualsiasi utente e il DC restituirebbe un messaggio AS-REP. Poiché parte di quel messaggio è criptato utilizzando la password dell'utente, l'attaccante può poi tentare di forzare la password dell'utente offline.

Fortunatamente, la preautenticazione è abilitata per impostazione predefinita in Active Directory. Tuttavia, può essere disabilitata per un account utente utilizzando l'impostazione mostrata di seguito:

Image

Esecuzione di AS-REP Roasting con Rubeus

Utilizzando Rubeus, puoi facilmente eseguire AS-REP Roasting per vedere come questo attacco funzionerebbe nel tuo ambiente. Basta emettere il seguente comando:

      Rubeus.exe asreproast

Questo troverà automaticamente tutti gli account che non richiedono la preautenticazione ed estrarrà i loro hash AS-REP per il cracking offline, come mostrato qui:

Image

Portiamo questo esempio un passo avanti ed estraiamo i dati in un formato che può essere decifrato offline da Hashcat. Questo comando esporterà le informazioni dell'hash AS-REP in un file di testo:

      Rubeus.exe asreproast /format:hashcat /outfile:C:\Temp\hashes.txt

Quindi è semplice utilizzare Hashcat per decifrare gli hash trovati. Dobbiamo semplicemente specificare il codice della modalità hash corretto per gli hash AS-REP, il nostro file hash e un dizionario da utilizzare per eseguire l'indovinamento della password con attacco a forza bruta:

      hashcat64.exe -m 18200 c:\Temp\hashes.txt example.dict
Image

Protezione contro AS-REP Roasting

Come puoi vedere, AS-REP Roasting offre un modo semplice per rubare gli hash delle password degli account utente che non richiedono preautenticazione, senza bisogno di privilegi speciali. Fortunatamente, esistono diversi metodi efficaci per difendersi da questi attacchi.

Richiedi una prova gratuita di Netwrix Access Analyzer

Identificare gli account che non richiedono la preautenticazione

Il modo migliore per bloccare gli attacchi AS-REP Roasting è trovare tutti gli account utente impostati per non richiedere la preautenticazione Kerberos e poi attivare questa impostazione. Questo script troverà questi account vulnerabili:

      Get-ADUser -Filter 'useraccountcontrol -band 4194304' -Properties useraccountcontrol | Format-Table name

L'output appare così:

Image

Forza della password

Un'altra solida protezione contro gli attacchi AS-REP Roasting è richiedere password lunghe e complesse che sono difficili da decifrare anche se un avversario riesce a rubarle. Utilizzare fine-grained password policies — specialmente per gli account privilegiati — è un ottimo primo passo.

Privilegi AD

È anche fondamentale sapere quali account utente hanno i permessi necessari per modificare l'impostazione che controlla se la preautenticazione è abilitata, poiché potrebbero disattivarla giusto il tempo necessario per ottenere l'hash AS-REP e poi riattivarla. Questa query elencherà tutti i diritti di accesso sugli account utente che non richiedono preautenticazione:

      (Get-ACL "AD:\$((Get-ADUser -Filter 'useraccountcontrol -band 4194304').distinguishedname)").access
Image

Monitoraggio delle modifiche

Infine, dovresti anche monitorare la disattivazione della preautenticazione Kerberos. L'evento 4738 registra le modifiche a questa impostazione utente:

Image

In alternativa, puoi monitorare l'ID evento 5136:

Image

Come può Netwrix aiutare?

Proteggi il tuo Active Directory da un capo all'altro con la Netwrix Active Directory Security Solution. Ti permetterà di:

  • Scopri i rischi per la sicurezza in Active Directory e dai priorità ai tuoi sforzi di mitigazione.
  • Rafforzare le configurazioni di sicurezza in tutta l'infrastruttura IT.
  • Rilevate e contenete tempestivamente minacce avanzate, come il Kerberoasting, il DCSync , l'estrazione di NTDS.dit e gli attacchi Golden Ticket.
  • Rispondi istantaneamente alle minacce note con opzioni di risposta automatizzate.
  • Minimizza le interruzioni aziendali con un rapido recupero di Active Directory.

FAQ

Cosa significa AS-REP?

AS-REP sta per Authentication Service (AS) Response Message. È un tipo di messaggio trasmesso tra un server e un client durante l'autenticazione Kerberos.

Quali utenti sono vulnerabili al roasting AS-REP?

AS-REP Roasting può essere utilizzato solo contro account utente che hanno la preautenticazione Kerberos disabilitata

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Joe Dibley

Ricercatore di sicurezza

Ricercatore di sicurezza presso Netwrix e membro del Netwrix Security Research Team. Joe è un esperto in Active Directory, Windows e una vasta gamma di piattaforme software aziendali e tecnologie, Joe ricerca nuovi rischi per la sicurezza, tecniche di attacco complesse e relative mitigazioni e rilevamenti.

Ultimi blog

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Analisi quantitativa del rischio: Aspettativa di perdita annuale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza