AS-REP Roasting
Angriffstechnik gegen Active Directory, bei der Kerberos-Antworten (AS-REP) für Konten ohne Vorauthentifizierung angefordert und offline geknackt werden — ohne gültige Credentials zu benötigen.
AS-REP Roasting ist eine Angriffstechnik gegen Active Directory, die auf Konten abzielt, bei denen die Kerberos-Vorauthentifizierung (Pre-Authentication) deaktiviert ist. Im Gegensatz zum verwandten Kerberoasting benötigt der Angreifer dafür keine gültigen Domänen-Credentials — er muss lediglich den Benutzernamen eines betroffenen Kontos kennen.
Wie funktioniert der Angriff?
Bei einer normalen Kerberos-Authentifizierung muss der Client im ersten Schritt (AS-REQ) einen mit seinem Passwort-Hash verschlüsselten Zeitstempel mitsenden, um seine Identität nachzuweisen. Ist die Vorauthentifizierung für ein Konto deaktiviert, entfällt diese Prüfung: Das KDC antwortet direkt mit einer AS-REP-Nachricht, deren Teilbereiche mit dem Passwort-Hash des angefragten Kontos verschlüsselt sind. Der Angreifer extrahiert diesen verschlüsselten Teil und knackt ihn offline mit Tools wie Hashcat oder John the Ripper — ohne weiteren Netzwerkverkehr zu erzeugen.
Unterschied zu Kerberoasting
| Merkmal | AS-REP Roasting | Kerberoasting |
|---|---|---|
| Ziel | AS-REP (Authentifizierungsantwort) | TGS (Service Ticket) |
| Voraussetzung | Kein gültiges Konto nötig | Beliebiger Domänenbenutzer |
| Betroffene Konten | Konten ohne Pre-Authentication | Service Accounts mit SPN |
| Kerberos-Phase | Initiale Authentifizierung (AS) | Ticket-Anforderung (TGS) |
Warum wird die Vorauthentifizierung deaktiviert?
In der Praxis finden sich Konten ohne Vorauthentifizierung aus mehreren Gründen: Legacy-Anwendungen, die das ältere Kerberos-Verhalten erwarten, Fehlkonfigurationen bei der Migration oder schlicht fehlende Awareness. Das Active-Directory-Attribut DONT_REQUIRE_PREAUTH lässt sich pro Konto setzen — und wird in vielen Umgebungen nie auditiert.
Erkennung
Die Überwachung von Event ID 4768 (Kerberos Authentication Service) im Windows Security Log ist der zentrale Erkennungsmechanismus. Anfragen mit Pre-Authentication Type 0 deuten auf AS-REP Roasting hin. Ein SIEM-System sollte gezielt nach diesen Events filtern und bei ungewöhnlichen Häufungen alarmieren. Ergänzend hilft die regelmäßige Enumeration aller Konten mit deaktivierter Vorauthentifizierung über LDAP-Abfragen oder PowerShell.
Gegenmaßnahmen
Die wirksamste Maßnahme ist die Aktivierung der Vorauthentifizierung für alle Konten. Wo dies aus Kompatibilitätsgründen nicht möglich ist, sollten die betroffenen Konten besonders starke, zufällig generierte Passwörter verwenden und auf AES-256-Verschlüsselung umgestellt werden (RC4 deaktivieren), um den Offline-Crack erheblich zu erschweren. Ein regelmäßiges Audit des DONT_REQUIRE_PREAUTH-Flags über das Tiering-Modell stellt sicher, dass neue Ausnahmen nicht unbemerkt entstehen.
Relevanz für KMUs
AS-REP Roasting wird in der Praxis oft übersehen, weil der Fokus auf Kerberoasting und Pass-the-Hash liegt. Dabei genügt ein einziges Konto ohne Vorauthentifizierung als Einstiegspunkt — besonders kritisch, wenn es über erhöhte Berechtigungen verfügt. Die Inventarisierung aller betroffenen Konten per PowerShell (Get-ADUser -Filter 'DoesNotRequirePreAuth -eq $true') ist in wenigen Minuten erledigt und gehört zu den einfachsten, aber wirkungsvollsten Härtungsmaßnahmen für jede Active-Directory-Umgebung.