AS-REP Roasting

AS-REP Roasting est une attaque Kerberos qui cible les comptes utilisateurs dont l'attribut "Do not require Kerberos preauthentication" (DONT_REQ_PREAUTH, valeur 0x400000 dans userAccountControl) est activé. Pour ces comptes, le KDC répond aux requêtes AS-REQ sans validation préalable, et le AS-REP contient un timestamp chiffré avec le hash du mot de passe utilisateur — bruteforçable offline.

L'attaque est plus simple que le Kerberoasting car elle ne nécessite aucune authentification préalable : un attaquant sur le réseau (même sans compte) peut énumérer les utilisateurs (via LDAP anonyme ou enum brute) et tester quels comptes ont la preauth désactivée, puis demander leurs AS-REP. Outils : Rubeus asreproast, GetNPUsers.py (Impacket), Kerbrute. Le hash extrait est au format hashcat 18200 (krb5asrep format).

Pourquoi des comptes ont-ils la preauth désactivée ? Historiquement, pour compatibilité avec d'anciens clients Kerberos (Unix, MIT Kerberos) ou applications mal codées. C'est une mauvaise configuration héritée qu'on retrouve fréquemment dans les vieux domaines AD.

Détection : (1) Event ID 4768 avec PreAuthType=0 indique un AS-REP sans preauth ; (2) requêtes LDAP énumérant userAccountControl avec filter (userAccountControl:1.2.840.113556.1.4.803:=4194304) sont suspectes ; (3) Defender for Identity détecte l'AS-REP Roasting nativement. Mitigations : (1) auditer périodiquement (`Get-ADUser -Filter 'DoesNotRequirePreAuth -eq "True"'`) et désactiver l'attribut sauf cas légitime documenté ; (2) imposer des mots de passe forts pour les comptes legacy qui ne peuvent pas changer ; (3) déprécier les apps qui requièrent ce paramètre ; (4) AES-only encryption.