Luis Diaz

AS-REP Roasting: Cómo explotar cuentas vulnerables en Active Directory sin autenticación

AS-REP

En entornos empresariales que utilizan Active Directory, la seguridad de las credenciales es un pilar fundamental. Sin embargo, configuraciones incorrectas pueden abrir la puerta a ataques altamente efectivos sin necesidad de acceso inicial.

Uno de los más interesantes y peligrosos es el AS-REP Roasting, una técnica que permite a un atacante obtener material criptográfico reutilizable para comprometer cuentas válidas dentro del dominio.

¿Qué es AS-REP Roasting?

El AS-REP Roasting es un ataque que explota una mala configuración en cuentas de usuario dentro del protocolo Kerberos.

En condiciones normales, Kerberos requiere que el usuario realice una pre-autenticación, demostrando que conoce su contraseña antes de que el controlador de dominio le entregue un Ticket Granting Ticket (TGT).

Sin embargo, cuando una cuenta tiene deshabilitada esta protección, el controlador de dominio responde directamente con un mensaje AS-REP cifrado con la contraseña del usuario.

Esto permite a un atacante:

  • Solicitar el AS-REP sin credenciales válidas
  • Capturar el hash cifrado
  • Realizar ataques de cracking offline

Pelogro del ataque?

A diferencia de otros vectores, el AS-REP Roasting tiene ventajas:

  • No requiere autenticación previa
  • No genera ruido significativo en red
  • Permite ataques offline - "difícil de detectar"
  • Puede escalar rápidamente si se comprometen cuentas privilegiadas

En auditorías reales, es común encontrar cuentas de servicio o cuentas legacy con esta configuración habilitada, lo que representa un riesgo directo para la organización.

Flujo del ataque

1. Enumeración de cuentas vulnerables

El primer paso es identificar qué cuentas tienen deshabilitada la pre-autenticación en Kerberos.

Herramientas comunes:

  • Impacket GetNPUsers.py
  • Kerbrute
  • PowerView
GetNPUsers.py dominio.local/ -no-pass -usersfile users.txt

2. Obtención del AS-REP

Si la cuenta es vulnerable, el controlador de dominio devolverá un hash en formato crackeable.

Este hash es compatible con herramientas como:

  • Hashcat
  • John-the-Ripper

3. Cracking offline

Aquí es donde ocurre el verdadero impacto. El atacante puede intentar romper la contraseña sin interacción con el dominio. 

hashcat -m 18200 hash.txt wordlist.txt

El éxito depende de:

  • Complejidad de la contraseña
  • Políticas de seguridad implementadas

Algunos errores comunes en AD

  • Cuentas de servicio con contraseñas débiles
  • Usuarios antiguos sin políticas actualizadas
  • Configuraciones heredadas por compatibilidad
  • Falta de auditoría en atributos de cuentas

Este tipo de hallazgos suele clasificarse como alto o crítico en reportes de pentesting.

¿Cómo mitigar AS-REP Roasting?

  • Habilitar pre-autenticación Kerberos en todas las cuentas
  • Auditar periódicamente atributos en Active Directory
  • Implementar políticas de contraseñas robustas
  • Monitorear solicitudes anómalas de TGT
  • Usar soluciones SIEM o EDR

El AS-REP Roasting

El AS-REP Roasting es un claro ejemplo de cómo una mala configuración puede comprometer la seguridad de todo un dominio sin necesidad de explotar vulnerabilidades complejas.

Para un pentester, representa una oportunidad de acceso inicial. Para un equipo defensivo, es una alerta de malas prácticas en la gestión de identidades. Para un atacante, dinero facil.

La diferencia entre ambos escenarios radica en la visibilidad y control que se tenga sobre el entorno.

Redes Sociales