Active Directory – Qu’est-ce qu’une attaque ASREPRoast ?
Attaque ASREPRoast – Définition
L’attaque ASREPRoast est une technique utilisée par les attaquants pour exploiter une vulnérabilité dans le protocole Kerberos, souvent utilisé pour l’authentification dans les environnements Active Directory. Cette attaque vise spécifiquement les comptes d’utilisateurs qui n’exigent pas de pré-authentification Kerberos, permettant aux attaquants de récupérer des tickets d’authentification chiffrés qu’ils peuvent ensuite tenter de cracker hors ligne.
Dans Kerberos, la pré-authentification est une étape où l’utilisateur doit prouver son identité avant de recevoir un ticket d’authentification. Néanmoins, certains comptes peuvent être configurés pour ne pas exiger cette pré-authentification. Les attaquants profitent de cette configuration en demandant un ticket d’authentification pour ces comptes, recevant ainsi un ticket chiffré par le mot de passe de l’utilisateur. Ils peuvent alors utiliser des techniques de brute force ou de dictionnaire pour tenter de cracker le mot de passe à partir de ce ticket.
Pour plus d’informations, voici un lien vers un guide complet :
Exemples
Pour mieux comprendre, considérons un environnement Active Directory où un compte de service est configuré sans pré-authentification Kerberos. Un attaquant qui a un accès limité au réseau peut utiliser un outil comme Impacket pour envoyer une requête AS-REQ pour ce compte. Étant donné que la pré-authentification n’est pas requise, le serveur Kerberos renvoie un ticket chiffré avec le mot de passe du compte de service.
L’attaquant peut ensuite transférer ce ticket vers une machine de leur choix et utiliser des outils comme Hashcat pour tenter de trouver ou « cracker » le mot de passe associé. Si le mot de passe est faible ou a été réutilisé ailleurs, ce dernier pourra être cracké rapidement, donnant à l’attaquant un accès potentiel aux ressources protégées par ce compte : tout dépend des privilèges du compte en question.
Comment se protéger de l’attaque ASREPRoast ?
Pour se protéger contre les attaques ASREPRoast, il est essentiel de renforcer les configurations de sécurité dans l’environnement Active Directory. Ceci passe par une bonne configuration des comptes. En effet, une mesure de base est de s’assurer que tous les comptes, en particulier ceux ayant des privilèges élevés ou des accès sensibles, exigent la pré-authentification Kerberos. Cela peut être configuré dans les propriétés de chaque compte utilisateur dans l’Active Directory Users and Computers.
En outre, il est crucial de surveiller les requêtes AS-REQ inhabituelles ou suspectes sur le réseau, car elles peuvent indiquer une tentative d’attaque. Les solutions de détection des intrusions (IDS) et les outils de surveillance des journaux peuvent aider à identifier ces activités anormales, nous faisons référence ici à une solution type SIEM.
L’utilisation de mots de passe forts et uniques pour tous les comptes, en particulier pour les comptes de service et administrateurs (à privilèges élevés), est également une bonne pratique. Les mots de passe devraient être régulièrement mis à jour et conformes aux politiques de complexité des mots de passe.
Enfin, la mise en oeuvre d’une segmentation stricte du réseau, la limitation de l’accès aux ressources sensibles uniquement aux utilisateurs et systèmes nécessaires peut réduire la surface d’attaque. L’objectif étant de compliquer les efforts des attaquants pour lancer de telles attaques sur votre réseau.
