Während eines internen Assessments fanden wir uns in einer restriktiven Testumgebung ohne gültige Logins wieder. Doch auch ohne authentifizierten Zugriff konnten wir wertvolle Hashes für das Offline-Cracking sammeln – dank einer Kerberos-Fehlkonfiguration, die AS-REP Roasting ermöglichte. Einzige Voraussetzung: ein Benutzerkonto mit deaktivierter Preauthentication.
Warum gibt es diese Option überhaupt?
Die Einstellung Do not require Kerberos preauthentication existiert aus Kompatibilitätsgründen: In sehr alten Umgebungen oder bei bestimmten Diensten, die Kerberos nicht vollständig unterstützen, war es notwendig, diesen Mechanismus zu deaktivieren. Microsoft hält die Option bis heute verfügbar – obwohl sie ein hohes Risiko darstellt.
Ein Backup-System meldet Authentifizierungsprobleme – statt den Fehler im Detail zu analysieren, deaktiviert der Admin Pre-Auth für das Servicekonto. Funktioniert wieder – aber auf Kosten der Sicherheit.
Was steckt hinter AS-REP Roasting?
Wenn ein Benutzerobjekt diese Option gesetzt hat, beantwortet der Domain Controller ein Ticket-Request (AS-REQ) direkt mit einem AS-REP – ganz ohne vorherige Authentifizierung. Der Block ist mit dem Passwort-Hash des Benutzers verschlüsselt und kann offline gebruteforced werden.
🔍 Warum etype 23 so gefährlich ist
In älteren Active-Directory-Umgebungen wird meist etype 23 (RC4-HMAC) verwendet. Dieser basiert auf dem NTLM-Hash des Passworts – ohne Salt, wodurch Brute-Force-Angriffe extrem schnell möglich sind. Neuere etypes (AES-128 / 256) sind deutlich rechenintensiver – aber nicht unknackbar.
Rubeus in Aktion
Auf einem kompromittierten Host führten wir Rubeus aus. Zwei typische Szenarien:
🔓 Variante 1: Kein Domänenbenutzer
Rubeus.exe asreproast /user:svc_backup /domain:corp.local /dc:10.0.0.5
🔹 Tipp: Benutzerlisten lassen sich mit ldapsearch, kerbrute oder SMB-Enumeration vorbereiten.
🔐 Variante 2: Mit Domänenbenutzer
Rubeus.exe asreproast
Offline-Knacken mit Hashcat
hashcat -m 18200 asrep.hashes rockyou.txt --force
Innerhalb weniger Minuten erhielten wir Klartext-Zugangsdaten eines Servicekontos – und fanden kurz darauf ein .ps1-Backup-Script mit SQL-Zugriff.
Lessons Learned
- AS-REP Roasting erfordert keine Anmeldung – idealer Einstiegspunkt in interne Netze.
- Preauthentication sollte nie deaktiviert werden, außer mit guter Begründung.
- Service-Accounts mit schwachen Passwörtern sind besonders kritisch.
- Starke Passwörter und AES-Algorithmen machen den Angriff nahezu wirkungslos.
🛡️ Kerberos-Analyse für Ihr Unternehmen
Unsere Kerberos-Sicherheitsanalyse deckt Konfigurationsfehler und Risiken frühzeitig auf.
Jetzt Analyse anfragen