Active Directory: Cos'è e Come Mitigare l'Attacco Authentication Server Response Roasting

Scopri come proteggere Active Directory dagli attacchi Authentication Server Response Roasting, una tecnica che sfrutta le vulnerabilità nei Service Principal Names (SPN).

SOFTWARESICUREZZA INFORMATICA

6/3/20252 min read

Active Directory (AD) è un servizio di directory sviluppato da Microsoft per la gestione di utenti, computer e altre risorse in un ambiente di rete Windows. Fornisce un punto centrale per l'autenticazione e l'autorizzazione, semplificando l'amministrazione e migliorando la sicurezza.

Authentication Server Response Roasting (AS-REP Roasting)

L'AS-REP Roasting è una tecnica di attacco che prende di mira Active Directory. Sfrutta il protocollo Kerberos, utilizzato per l'autenticazione, per ottenere hash di password da account utente senza richiedere una password.

Come funziona l'attacco:

  1. Richiesta di ticket: L'attaccante richiede un ticket Kerberos per un utente senza pre-autenticazione.

  2. Risposta del server: Se l'utente non richiede la pre-autenticazione, il server Active Directory risponde con un ticket contenente l'hash della password dell'utente.

  3. Cracking dell'hash: L'attaccante tenta di decifrare l'hash offline per ottenere la password dell'utente.

Mitigazione dell'attacco AS-REP Roasting:

  • Applicare la pre-autenticazione: Assicurarsi che tutti gli utenti richiedano la pre-autenticazione Kerberos.

  • Monitorare gli eventi: Controllare i log di sicurezza per eventi di richiesta di ticket senza pre-autenticazione.

  • Password complesse: Applicare policy per password complesse e rotazione regolare.

Service Principal Names (SPN) e Attacco Kerberoasting

I Service Principal Names (SPN) sono identificatori univoci per i servizi in Active Directory. L'attacco Kerberoasting sfrutta gli SPN per ottenere ticket Kerberos per i servizi, che contengono hash delle password degli account di servizio.

Come funziona l'attacco Kerberoasting:

  1. Richiesta di ticket: L'attaccante richiede ticket Kerberos per gli SPN.

  2. Risposta del server: Il server Active Directory risponde con ticket contenenti gli hash delle password degli account di servizio.

  3. Cracking dell'hash: L'attaccante tenta di decifrare gli hash offline per ottenere le password degli account di servizio.

Mitigazione dell'attacco Kerberoasting:

  • Account di servizio gestiti (MSA/gMSA): Utilizzare MSA/gMSA per la gestione automatica delle password degli account di servizio.

  • Password complesse: Applicare policy per password complesse e rotazione regolare per gli account di servizio.

  • Delegazione vincolata: Limitare la delega Kerberos solo ai servizi necessari.

  • Monitorare gli eventi: Controllare i log di sicurezza per attività sospette relative agli SPN.

  • Inventario degli SPN: Mantenere un inventario aggiornato degli SPN.

Conclusione:

Proteggere Active Directory dagli attacchi AS-REP Roasting e Kerberoasting richiede una combinazione di configurazioni sicure, monitoraggio attento e gestione efficace delle password. Implementare le mitigazioni descritte è fondamentale per ridurre il rischio di compromissione.

informatica sistemi consulenza cloud assistenza supporto hardware softwareinformatica sistemi consulenza cloud assistenza supporto hardware software
informatica sistemi consulenza cloud assistenza supporto hardware software
informatica sistemi consulenza cloud assistenza supporto hardware software

Seguici sui Social

@ 2025 SD Solution

SD Solution

Via Della Pineta 103 - Cagliari 09126

WA: +39 392 900 9590

CALL: +39 392 900 9590

MAIL: hello@sd-solution.it

Lascia una recensione