3 juli 2026 · 3 min leestijd · begrippen
AS-REP roasting is een aanval op Active Directory-accounts waarbij Kerberos-pre-authenticatie uitstaat. Voor zo’n account vraag je het eerste bericht van de KDC op, de AS-REP, en kraak je een versleuteld deel daarvan offline om het wachtwoord te achterhalen. Je hebt er geen geldig wachtwoord voor nodig, alleen de gebruikersnaam van een account met pre-authenticatie uit.
De aanval is in 2017 beschreven door Will Schroeder (harmj0y) als de tegenhanger van Kerberoasting. MITRE ATT&CK categoriseert hem onder T1558.004 Steal or Forge Kerberos Tickets: AS-REP Roasting.
Normaal eist Kerberos pre-authenticatie. Bij het inloggen versleutelt de client een timestamp met een sleutel die van het wachtwoord is afgeleid, en de KDC geeft pas een AS-REP terug als die timestamp klopt. Iemand die het wachtwoord niet kent, krijgt zo niets bruikbaars in handen.
Staat pre-authenticatie uit op een account, dan vervalt die controle. De KDC stuurt de AS-REP naar iedereen die erom vraagt, zonder bewijs van het wachtwoord. In die AS-REP zit een versleuteld deel, de enc-part, dat met de wachtwoord-sleutel van de gebruiker is versleuteld. Dat deel kraak je offline met Hashcat. Een RC4-versleutelde AS-REP (etype 23) gaat in hashcat naar modus 18200, en een zwak wachtwoord valt daarbij snel. AES-versleutelde varianten zijn een stuk zwaarder om te kraken.
Om te weten wélke accounts kwetsbaar zijn, zoek je in Active Directory naar de vlag “Do not require Kerberos preauthentication”. Dat is een bit in het userAccountControl-attribuut (DONT_REQ_PREAUTH, waarde 0x400000). Voor die zoekopdracht in LDAP heb je wel een geldig domein-account nodig. De AS-REP zelf opvragen kan daarna zonder wachtwoord, zolang je de gebruikersnaam kent.
In een Active Directory pentest kijken wij standaard of er accounts zijn met pre-authenticatie uit. Dat doen we met NetExec op het ldap-protocol. Hebben we al een geldig account, dan zoekt NetExec de kwetsbare accounts op en haalt meteen de hashes op. Kennen we alleen een gebruikersnaam of een lijst met namen, dan werkt het ook zonder wachtwoord.
# Met een geldig account: vind kwetsbare accounts en haal de hashes op
nxc ldap 10.0.0.1 -u jdoe -p Password --asreproast asreproast.txt
# Zonder wachtwoord, met een lijst gebruikersnamen
nxc ldap 10.0.0.1 -u users.txt -p '' --asreproast asreproast.txt
De opgehaalde hashes kraken we offline met hashcat.
# RC4 AS-REP hashes kraken tegen een woordenlijst
hashcat -m 18200 asreproast.txt /usr/share/wordlists/rockyou.txt
Voer dit soort tests alleen uit op systemen waarvoor je expliciete, schriftelijke toestemming hebt. Zonder die toestemming is het strafbaar.
(userAccountControl:1.2.840.113556.1.4.803:=4194304), dat precies de accounts met die optie teruggeeft.Kerberos is het authenticatieprotocol van Active Directory, gebaseerd op tickets en een centrale KDC. Wij laten zien hoe het werkt en waar aanvallers het misbruiken.
Credential Guard schermt met Virtualization-Based Security de credentials in LSASS af in een geïsoleerd proces. Belangrijk voor een veilig AD-netwerk.
LAPS geeft elke Windows-machine een uniek, willekeurig lokaal admin-wachtwoord en roteert het automatisch. Belangrijk voor een veilig AD-netwerk.