AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

AS-REP Roasting: El Resurgir de una Amenaza Contra la Autenticación Kerberos en Active Directory

admin

Introducción

En los últimos meses, la técnica de ataque conocida como AS-REP Roasting ha vuelto a captar la atención de la comunidad de ciberseguridad, evidenciando nuevamente las debilidades inherentes en las implementaciones de Kerberos en entornos Active Directory (AD) que no aplican políticas de autenticación robustas. A pesar de ser un vector de ataque conocido desde hace años, recientes investigaciones y campañas de ataque han demostrado que sigue siendo relevante debido a la persistencia de contraseñas débiles y la configuración inadecuada de ciertos usuarios en AD. Analizamos en profundidad cómo funciona el AS-REP Roasting, los riesgos asociados y las mejores prácticas para mitigar este riesgo en infraestructuras empresariales.

Contexto del Incidente o Vulnerabilidad

Kerberos, el protocolo de autenticación por defecto en entornos Windows, se basa en la emisión de tickets de autenticación y el uso de claves secretas derivadas de contraseñas. Una de las configuraciones de usuario más peligrosas es “No requerir preautenticación Kerberos”, que, aunque pensada para compatibilidad con sistemas antiguos o cuentas de servicio, expone a las organizaciones al ataque denominado AS-REP Roasting. Según un informe reciente de Specops Software, los atacantes están explotando activamente cuentas configuradas sin preautenticación para obtener hashes de contraseñas y realizar ataques offline de fuerza bruta.

Detalles Técnicos

El ataque AS-REP Roasting se aprovecha de usuarios de Active Directory con el flag “Do not require Kerberos preauthentication” habilitado. En este escenario, un atacante autenticado en el dominio puede solicitar un mensaje AS-REP (Authentication Service Response) para la cuenta objetivo. Dado que Kerberos no requiere preautenticación, el controlador de dominio responde con un paquete cifrado con la clave derivada de la contraseña del usuario.

Este paquete puede ser capturado y posteriormente sometido a ataques de fuerza bruta offline para recuperar la contraseña en texto claro, sin generar alertas en los sistemas de detección ni bloquear cuentas. Herramientas como Rubeus, Impacket, Hashcat y John the Ripper automatizan el proceso de recolección y crackeo de estos hashes. El ataque está categorizado en MITRE ATT&CK como T1558.004 (Steal or Forge Kerberos Tickets: AS-REP Roasting).

Indicadores de compromiso (IoC) incluyen:

– Solicitudes AS-REQ sin preautenticación en logs de Kerberos.
– Uso de scripts o módulos en frameworks como Metasploit y Cobalt Strike para automatizar el ataque.
– Actividad anómala en cuentas de servicio o cuentas con privilegios elevados.

Las versiones de Windows Server afectadas comprenden todas las que permiten la configuración de cuentas sin preautenticación: Windows Server 2008, 2012, 2016, 2019 y 2022.

Impacto y Riesgos

El principal riesgo de AS-REP Roasting reside en la posibilidad de que un atacante obtenga credenciales de cuentas privilegiadas (service accounts, administradores delegados, etc.) en cuestión de minutos si se emplean contraseñas débiles. Según estudios de Specops, hasta un 8% de las cuentas de AD en grandes organizaciones presentan esta configuración vulnerable. El cracking de los hashes puede tomar menos de una hora con GPUs modernas si la contraseña es sencilla o reutilizada.

El impacto potencial incluye:

– Escalada de privilegios, movimiento lateral y persistencia en la red.
– Compromiso de información sensible bajo el marco de GDPR y NIS2, con riesgo de sanciones económicas (multas de hasta el 4% del volumen de negocio anual según GDPR).
– Facilita ataques posteriores como Pass-the-Hash, Pass-the-Ticket y exfiltración de datos.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de AS-REP Roasting, los expertos recomiendan:

1. Auditar regularmente las cuentas con el flag “No requerir preautenticación Kerberos” habilitado mediante PowerShell o herramientas SIEM.
2. Reforzar las políticas de contraseñas, exigiendo contraseñas largas y complejas (mínimo 15 caracteres alfanuméricos y uso obligatorio de passphrases).
3. Aplicar políticas de bloqueo de cuentas y monitorización de accesos fallidos.
4. Implementar soluciones de autenticación multifactor (MFA) para cuentas de alto riesgo.
5. Deshabilitar o restringir cuentas de servicio antiguas o innecesarias.
6. Actualizar los controladores de dominio y aplicar parches de seguridad recomendados por Microsoft.

Opinión de Expertos

Andreas Nilsson, investigador de Specops Software, advierte: “El AS-REP Roasting sigue siendo uno de los ataques menos ruidosos y más efectivos contra Active Directory, especialmente en entornos donde la higiene de contraseñas y la gestión de cuentas de servicio no es prioritaria. La clave está en la prevención y monitorización constante”.

Implicaciones para Empresas y Usuarios

Para los responsables de seguridad (CISO), pentesters y administradores de AD, este vector de ataque demuestra la importancia de la gestión proactiva de cuentas y la revisión continua de configuraciones heredadas. Desde el punto de vista de cumplimiento, la exposición a AS-REP Roasting puede derivar en brechas de datos reportables bajo GDPR, así como incumplimientos frente a la directiva NIS2 para infraestructuras críticas.

Conclusiones

AS-REP Roasting representa una amenaza persistente y silenciosa en entornos Windows mal configurados. La combinación de contraseñas débiles y cuentas sin preautenticación expone a organizaciones de cualquier tamaño a ataques devastadores. La solución pasa por una auditoría continua, endurecimiento de políticas de contraseñas y la adopción de MFA, así como la formación de los equipos de TI en las mejores prácticas de gestión de identidades y acceso.

(Fuente: www.bleepingcomputer.com)