Memahami Serangan AS-REP Roasting dalam Lingkungan Active Directory
Dalam dunia keamanan siber, Active Directory (AD) adalah target utama bagi para penyerang karena perannya yang sentral dalam manajemen identitas dan akses. Salah satu teknik serangan yang menargetkan protokol otentikasi Kerberos yang digunakan oleh AD adalah AS-REP roasting. Serangan ini memungkinkan penyerang untuk mendapatkan hash kata sandi pengguna tanpa perlu berinteraksi langsung dengan pengguna target atau melakukan serangan brute force yang mudah terdeteksi secara online. Ini merupakan ancaman serius karena penyerang dapat melakukan upaya pemecahan hash secara offline, yang jauh lebih efisien dan sulit dilacak.
Bagaimana Serangan AS-REP Roasting Dilakukan
Serangan AS-REP roasting mengeksploitasi miskonfigurasi tertentu pada akun pengguna di lingkungan Active Directory. Prosesnya dimulai ketika penyerang membuat permintaan otentikasi awal Kerberos (AS-REQ) atas nama pengguna target. Secara default, Kerberos memerlukan preauthentication di mana klien harus membuktikan identitasnya sebelum KDC (Key Distribution Center) merespons dengan tiket autentikasi awal (TGT). Namun, jika akun pengguna target dikonfigurasi dengan opsi ‘Do not require Kerberos preauthentication’, KDC akan mengabaikan langkah preauthentication ini. Sebaliknya, KDC akan langsung merespons permintaan AS-REQ dengan mengirimkan Tiket Pemberian Tiket (TGT) yang dienkripsi menggunakan hash kata sandi NTLM milik pengguna target. Penyerang yang mencegat respons ini mendapatkan TGT terenkripsi dan dapat membawanya pergi untuk mencoba memecahkan enkripsi secara offline. Dengan menggunakan alat pemecah kata sandi dan daftar kata sandi (dictionary) atau serangan brute force, penyerang berusaha menemukan kata sandi asli yang menghasilkan hash tersebut.
Alasan Konfigurasi Akun Menjadi Celah Keamanan
Kerentanan utama yang dieksploitasi oleh AS-REP roasting adalah opsi ‘Do not require Kerberos preauthentication’ yang diaktifkan pada akun pengguna. Opsi ini sebenarnya ditujukan untuk tujuan kompatibilitas mundur dengan sistem atau layanan lama yang mungkin tidak mendukung preauthentication Kerberos. Namun, dalam penggunaan modern, menonaktifkan preauthentication pada akun pengguna menciptakan celah keamanan yang signifikan. Ini ibarat memberikan kunci terenkripsi (TGT) kepada siapa pun yang memintanya atas nama pengguna tersebut, tanpa memeriksa apakah peminta benar-benar pengguna yang sah. Akibatnya, penyerang hanya perlu mengetahui nama pengguna dan keberadaan opsi ini diaktifkan untuk melancarkan serangan. Dampak keberhasilan serangan ini adalah penyerang mendapatkan hash kata sandi yang dapat digunakan untuk mencoba masuk ke sistem lain atau meningkatkan hak akses dalam jaringan.
Strategi Efektif Mencegah Serangan AS-REP Roasting
Pencegahan AS-REP roasting berpusat pada penghapusan akar penyebab kerentanan. Langkah paling krusial adalah mengidentifikasi dan menonaktifkan opsi ‘Do not require Kerberos preauthentication’ pada semua akun pengguna di Active Directory kecuali jika benar-benar diperlukan untuk alasan kompatibilitas yang terverifikasi dan tidak ada alternatif lain. Administrator AD dapat menggunakan skrip PowerShell atau alat manajemen AD untuk mencari akun yang memiliki opsi ini aktif dan menonaktifkannya. Selain itu, penting untuk memastikan bahwa kebijakan kata sandi yang kuat diberlakukan di seluruh organisasi. Pengguna harus didorong atau dipaksa untuk menggunakan kata sandi yang kompleks dan unik yang sulit dipecahkan bahkan jika hash-nya berhasil didapatkan. Terakhir, pemantauan log keamanan pada Domain Controller dan aktivitas jaringan dapat membantu mendeteksi pola permintaan AS-REQ yang tidak biasa atau permintaan dalam jumlah besar yang mungkin mengindikasikan upaya AS-REP roasting. Dengan langkah-langkah proaktif ini, risiko serangan AS-REP roasting dapat diminimalkan secara signifikan.
Sumber: https://www.bleepingcomputer.com/news/security/kerberos-as-rep-roasting-attacks-what-you-need-to-know/