Apa sebenarnya serangan AS-REP Roasting itu?

  • Whatsapp
Kata Sandi Direktori Aktif

Direktori Aktif Microsoft adalah dikatakan digunakan oleh 95% dari Fortune 500. Akibatnya, ini adalah target utama bagi penyerang karena mereka ingin mendapatkan akses ke kredensial dalam organisasi, karena kredensial yang disusupi menyediakan salah satu cara termudah bagi peretas untuk mengakses data Anda.

Teknologi otentikasi utama yang mendukung Microsoft Active Directory adalah Kerberos. Sayangnya, peretas menggunakan banyak serangan berbeda terhadap implementasi Active Directory dari protokol otentikasi Kerberos. Salah satunya adalah AS-REP Roasting. Jadi apa itu AS-REP Roasting, dan bagaimana bisnis dapat melindungi diri mereka sendiri?

Bacaan Lainnya

Apa itu Kerberos Direktori Aktif?

Kerberos awalnya dikembangkan oleh Massachusetts Institute of Technology (MIT) dan berpusat pada penggunaan tiket untuk membangun kepercayaan. Implementasi Microsoft Kerberos yang ditemukan di Active Directory didasarkan pada Kerberos Network Authentication Service (V5) seperti yang didefinisikan dalam RFC 4120. Namun, Microsoft telah menambahkan dan menyempurnakan Kerberos dengan spesifikasi protokol dan beberapa ekstensinya.

Ada tiga komponen berbeda yang ditemukan dalam otentikasi Kerberos seperti yang ditemukan di Microsoft Active Directory. Ini termasuk:

  • Klien – Klien adalah entitas yang ingin mendapatkan tiket dari KDC
  • Server Aplikasi – Sumber daya yang membutuhkan tiket yang dikeluarkan disajikan untuk otentikasi
  • Pusat Distribusi Kunci (KDC) – KDC adalah pihak ketiga tepercaya yang menerbitkan tiket autentikasi. Di Microsoft Active Directory, KDC adalah setiap pengontrol domain yang melayani domain direktori aktif.
Protokol otentikasi Kerberos
Ikhtisar pertukaran tiket protokol otentikasi Kerberos

Penting untuk memahami risiko yang terkait dengan pencurian kredensial Active Directory, Kerberos adalah protokol default yang digunakan saat masuk ke bagian mesin Windows dari domain Active Directory. Ini telah menjadi protokol otentikasi default, menggantikan NTLM sejak Windows 2000 dan yang lebih baru. Apa perbedaan antara keduanya?

Kedua protokol mengelola otentikasi secara berbeda. Protokol otentikasi NTLM bergantung pada jabat tangan tiga arah. Informasi otentikasi dipertukarkan antara klien dan server untuk mengotentikasi pengguna. Sebaliknya, Kerberos menggunakan proses dua arah yang mengandalkan layanan pemberian tiket menggunakan key distribution center (KDC).

NTLM menggunakan hashing kata sandi, sedangkan Kerberos menggunakan enkripsi. Sementara Kerberos adalah metode otentikasi default, NTLM masih digunakan sebagai protokol otentikasi mundur. Jika otentikasi tidak dapat dilakukan menggunakan Kerberos, sistem akan menggunakan NTLM sebagai gantinya.

Apa itu Pemanggangan AS-REP?

Meskipun Kerberos adalah protokol otentikasi yang jauh lebih aman daripada NTLM, Kerberos bukannya tanpa kerentanannya sendiri, beberapa di antaranya dapat berasal dari pengaturan akun pengguna tertentu yang dikonfigurasi untuk akun di Active Directory.

Salah satu langkah pertama dalam otentikasi Kerberos adalah pra-otentikasi. Pra-otentikasi menggunakan kata sandi pengguna untuk mengenkripsi stempel waktu. Kontroler domain (DC) akan mendekripsi ini untuk memvalidasi kata sandi yang benar dan tidak ada permintaan sebelumnya yang diputar ulang. Kerentanan dapat terjadi saat pra-otentikasi dinonaktifkan.

Setelah ini dinonaktifkan, peretas dapat meminta data otentikasi untuk pengguna mana pun, dan DC akan mengembalikan tiket pemberian tiket (TGT) terenkripsi. Itu kemudian dapat digunakan untuk memaksa di lingkungan offline untuk memecahkan kata sandi.

Pra-otentikasi dapat dinonaktifkan pada akun pengguna mana pun di Active Directory di tab akun di bawah pilihan akun. Cari kotak centang “Tidak memerlukan pra-otentikasi Kerberos.”

Direktori Aktif
Mengatur tidak memerlukan tanda pra-otentikasi Kerberos di Active Directory

AS-REP Roasting adalah teknik yang memungkinkan pengambilan hash kata sandi untuk pengguna yang memiliki tanda ini diatur di Active Directory. Selain itu, berbagai alat keamanan siber dan peretasan memungkinkan peretasan TGT yang diambil dari Active Directory. Ini termasuk Rubeus dan Hashcat.

Menggunakan alat seperti Rubeus, penyerang dapat menemukan akun yang tidak memerlukan pra-otentikasi dan kemudian mengekstrak data tiket pemberian tiket (TGT) untuk memecahkan kata sandi secara offline.

Data dapat diubah menjadi format yang dapat dipecahkan oleh alat offline seperti Hashcat, yang dapat menggunakan pemecahan kata sandi brute force terhadap hash. Proses ini menggabungkan penggunaan file kamus untuk menebak kata sandi secara paksa.

Mencegah serangan AS-REP Roasting

Cara yang jelas untuk mencegah serangan AS-REP Roasting adalah dengan mengaudit lingkungan Active Directory Anda dan memastikan tidak ada akun yang dikonfigurasi dengan “Tidak memerlukan pra-otentikasi Kerberos.”

Selain mengaudit pengaturan Active Directory Anda untuk pra-otentikasi yang tidak dikonfigurasi dengan benar, Anda ingin memastikan pengguna diharuskan menggunakan sandi yang rumit dan kuat.

Juga, sangat penting untuk memastikan kata sandi tidak ditemukan dalam basis data kata sandi yang dilanggar karena daftar kata sandi yang dilanggar digunakan untuk memecahkan kata sandi yang diekstraksi menggunakan serangan AS-REP Roasting. Perlindungan kata sandi yang dilanggar tidak ditemukan di Active Directory. Jadi, solusi pihak ketiga diperlukan untuk jenis perlindungan ini.

Perlindungan kata sandi yang dilanggar dengan Specops

Menerapkan kebijakan kata sandi yang efektif dan menggunakan solusi perlindungan kata sandi yang dilanggar untuk Active Directory sangat penting untuk memastikan lingkungan Anda tidak rentan terhadap serangan Kerberos seperti AS-REP Roasting. Selain itu, kebijakan kata sandi yang efektif membantu memastikan pengguna menggunakan kata sandi yang kuat yang tidak mudah ditebak atau mudah diserang dengan kekerasan atau serangan kata sandi umum lainnya.

Kebijakan Kata Sandi Specops membawa kebijakan kata sandi ke era modern dengan fungsionalitas dan fitur yang tidak ditemukan di Active Directory. Ini mencegah kata sandi yang lemah dan bahkan dilanggar dari penggunaan di lingkungan menggunakan salah satu fitur terpenting dari Kebijakan Kata Sandi Specops, Perlindungan Kata Sandi yang Dilanggar.

Baru-baru ini, Specops merilis iterasi berikutnya dari Perlindungan Kata Sandi yang Dilanggar dengan Data Serangan Langsung. Data Serangan Langsung berasal dari solusi honeypot global yang digunakan oleh Specops untuk mengumpulkan kata sandi yang digunakan dalam serangan brute force langsung. Ini terintegrasi dengan perlindungan saat ini yang ditawarkan oleh Specops kepada pelanggan yang menggunakan basis data Kata Sandi yang Dilanggar dan solusinya terus diperbarui dengan kata sandi yang dilanggar terbaru.

Selain itu, dengan Perlindungan Kata Sandi yang Dilanggar yang ditemukan di Kebijakan Kata Sandi Specops, organisasi dapat dengan cepat menerapkan perlindungan kata sandi yang dilanggar untuk mencegah pengguna menggunakan kata sandi yang disusupi. Misalnya, jika pengguna mencoba memilih kata sandi yang ditemukan di basis data ekstensif kata sandi yang dilanggar yang dikelola oleh Specops (lebih dari dua miliar), kata sandi tidak diterima. Selain itu, jika kata sandi pengguna dilanggar setelah ditetapkan di Active Directory, organisasi dapat menggunakan Kebijakan Kata Sandi Specops untuk memaksa pengguna mereka mengubah kata sandi pada login berikutnya.

Kebijakan Kata Sandi Specops Melanggar Perlindungan Kata Sandi
Kebijakan Kata Sandi Specops Melanggar Perlindungan Kata Sandi

Di atas Perlindungan Kata Sandi yang Dilanggar dalam Kebijakan Kata Sandi Specops, ini menambahkan banyak fitur dan manfaat lain untuk meningkatkan kemampuan organisasi Anda untuk menyesuaikan kebijakan kata sandi agar sesuai dengan kebutuhan bisnis dan mempertahankan tingkat keamanan yang tinggi di lingkungan Anda. Ini termasuk:

  • Kemampuan untuk menambahkan beberapa kamus kata sandi khusus
  • Penuaan kata sandi berbasis panjang
  • Pemberitahuan kedaluwarsa kata sandi bawaan
  • Pembatasan konten kata sandi
  • Ekspresi reguler untuk lebih mengontrol konten kata sandi
  • Beberapa opsi pengaturan ulang kata sandi
  • Jumlah minimum karakter yang diperlukan diubah untuk reset kata sandi

Pertimbangan

Active Directory adalah solusi identitas nomor satu yang digunakan dalam organisasi saat ini. Sayangnya, penyerangnya sangat menargetkan lingkungan Active Directory untuk menemukan cara mencuri kredensial. Metode serangan mereka termasuk menyerang protokol otentikasi yang digunakan oleh Active Directory, termasuk Kerberos. AS-REP Roasting adalah jenis serangan yang terlihat untuk menemukan akun dengan pra-otentikasi bendera untuk Kerberos tidak disetel untuk pengguna.

Setelah ditemukan, alat peretasan dapat digunakan untuk memaksa kata sandi pengguna. Salah satu cara terbaik organisasi dapat mempertahankan diri adalah memiliki kebijakan kata sandi yang baik bersama dengan perlindungan kata sandi yang dilanggar, karena penyerang sering menggunakan basis data kata sandi yang dilanggar dalam serangan AS-REP Roasting. Kebijakan Kata Sandi Specops membantu bisnis meningkatkan keamanan kata sandi mereka, termasuk Perlindungan Kata Sandi yang Dilanggar.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *