L'attaque AS-REP Roasting exploite une configuration AD rarement vérifiée : la désactivation de la pré-authentification Kerberos. Elle permet d'obtenir des hashes crackables hors-ligne, parfois sans même posséder de compte valide.
Rappel — Comment fonctionne Kerberos
Kerberos authentifie les utilisateurs via des tickets chiffrés. Normalement, pour obtenir un ticket, l'utilisateur doit prouver qu'il connaît son mot de passe via une pré-authentification — un timestamp chiffré avec sa clé dérivée du mot de passe.
La vulnérabilité — DONT_REQ_PREAUTH
Certains comptes AD ont l'option suivante activée :
"Do not require Kerberos preauthentication" LDAP : DONT_REQ_PREAUTH
Résultat : n'importe qui peut demander un ticket pour ce compte. Le KDC répond avec un AS-REP chiffré avec la clé de l'utilisateur — un hash crackable hors-ligne.
Déroulé de l'attaque
# Identifier les comptes vulnérables (PowerShell)
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true}
# Obtenir les hashes (Impacket)
GetNPUsers.py DOMAIN/ -usersfile users.txt -no-pass
# Cracker hors-ligne
hashcat -m 18200 hash.txt rockyou.txt
Pourquoi c'est dangereux
- Pas besoin de compte AD valide pour lancer l'attaque
- Possible depuis l'extérieur si le KDC est exposé
- Totalement silencieux dans les logs — ressemble à du trafic normal
- Certains environnements ont 50+ comptes vulnérables
Protection
Règle n°1 : Ne jamais désactiver la pré-authentification. Il n'existe aucune raison légitime de le faire.
- Auditer régulièrement :
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} - Imposer des mots de passe solides sur tous les comptes
- Ne pas exposer le KDC depuis l'extérieur (DMZ)
- Monitorer les requêtes AS-REQ anormales