Kerberoasting ve AS-REP Roasting: Active Directory Ortamlarında Parola Saldırıları
Mart 24, 2026
Siber Güvenlik,Siber Savunma,Sızma Testi
Kurumsal ağ altyapılarında kimlik doğrulama işlemlerinin büyük bir bölümü Kerberos protokolü üzerinden gerçekleştirilmektedir. Kerberos, kullanıcıların ve servislerin kimlik doğrulamasını güvenli bir şekilde yönetmek için kullanılan güçlü bir kimlik doğrulama mekanizmasıdır ve özellikle Active Directory ortamlarının temel bileşenlerinden biridir.
Her ne kadar Kerberos güvenli bir protokol olarak tasarlanmış olsa da yanlış yapılandırılmış sistemler veya zayıf parola politikaları bazı saldırı türlerine açık hale gelebilir. Bu saldırı yöntemlerinden ikisi Kerberoasting ve AS-REP Roasting olarak bilinir.
Bu saldırı teknikleri, saldırganların doğrudan sisteme sızmak yerine Kerberos protokolünden elde edilen şifrelenmiş verileri kullanarak parola kırma saldırıları gerçekleştirmesine dayanır. Özellikle zayıf servis hesapları ve yanlış yapılandırılmış kullanıcı hesapları bu tür saldırılara karşı savunmasız olabilir.
Bu nedenle Kerberoasting ve AS-REP Roasting tekniklerini anlamak, Active Directory güvenliği açısından büyük önem taşır.
Kerberoasting Nedir?
Kerberoasting, saldırganların Kerberos servis biletlerini (service ticket) elde ederek bu biletler üzerinde çevrimdışı parola kırma saldırıları gerçekleştirmesi yöntemidir.
Active Directory ortamlarında belirli servisler Service Principal Name (SPN) kullanılarak tanımlanır. Bir kullanıcı bu servislere erişmek istediğinde Kerberos, ilgili servis için bir service ticket oluşturur.
Bu ticket, ilgili servis hesabının parolasıyla şifrelenir. Saldırganlar bu ticket’ı ele geçirerek şifrelenmiş veriyi çevrimdışı ortamda analiz edebilir ve brute-force veya sözlük saldırıları ile servis hesabının parolasını kırmaya çalışabilir.
Bu yöntem özellikle güçlü parola politikalarının uygulanmadığı ortamlarda oldukça etkili olabilir.
Kerberoasting Nasıl Çalışır?
Kerberoasting saldırısı genellikle şu adımlarla gerçekleştirilir:
- Saldırgan ağda geçerli bir kullanıcı hesabı elde eder.
- Active Directory içerisinde bulunan SPN kayıtlarını sorgular.
- Belirli servisler için Kerberos service ticket talep eder.
- Elde edilen ticket’ları yerel sisteme kaydeder.
- Ticket üzerindeki hash değerlerini çevrimdışı ortamda kırmaya çalışır.
Eğer servis hesabının parolası zayıfsa saldırgan kısa süre içerisinde parolayı elde edebilir. Bu durumda saldırgan ilgili servis üzerinde yetkili erişim elde edebilir.
AS-REP Roasting Nedir?
AS-REP Roasting, Kerberos protokolündeki belirli bir yapılandırma zafiyetinden yararlanan başka bir parola saldırısıdır.
Normalde Kerberos kimlik doğrulama sürecinde kullanıcıdan önce bir pre-authentication (ön doğrulama) bilgisi istenir. Ancak bazı kullanıcı hesaplarında bu özellik devre dışı bırakılmış olabilir.
Eğer bir hesapta pre-authentication kapalıysa saldırgan Kerberos Authentication Server’dan (AS) doğrudan bir AS-REP yanıtı alabilir. Bu yanıt kullanıcının parolasıyla şifrelenmiş bir veri içerir.
Saldırgan bu veriyi ele geçirerek yine çevrimdışı parola kırma saldırıları gerçekleştirebilir.
AS-REP Roasting Nasıl Çalışır?
AS-REP Roasting saldırısı genellikle şu adımlarla gerçekleşir:
- Saldırgan pre-authentication özelliği kapalı kullanıcı hesaplarını tespit eder.
- Bu hesaplar için Kerberos Authentication Server’a istek gönderir.
- Sunucudan AS-REP yanıtı elde edilir.
- Yanıt içerisindeki şifrelenmiş veri kaydedilir.
- Hash değerleri çevrimdışı parola kırma araçlarıyla analiz edilir.
Bu saldırının en önemli özelliği saldırganın geçerli bir kullanıcı hesabına sahip olmasının her zaman gerekli olmamasıdır.
Kerberoasting ve AS-REP Roasting Arasındaki Farklar
Her iki saldırı da Kerberos protokolünden elde edilen veriler üzerinde parola kırma saldırıları gerçekleştirmeye dayanır. Ancak aralarında bazı önemli farklar bulunmaktadır.
Kerberoasting
- Service Principal Name (SPN) kullanan servis hesaplarını hedef alır
- Service ticket verilerini kullanır
- Genellikle saldırganın ağda geçerli bir kullanıcı hesabına sahip olmasını gerektirir
AS-REP Roasting
- Pre-authentication özelliği kapalı kullanıcı hesaplarını hedef alır
- Authentication Server yanıtlarını kullanır
- Bazı durumlarda anonim sorgular ile gerçekleştirilebilir
Bu farklılıklar saldırganların hedef sistemde farklı zafiyetleri kullanmasına olanak tanır.
Bu Saldırılara Karşı Alınabilecek Önlemler
Kerberoasting ve AS-REP Roasting saldırılarını önlemek için Active Directory ortamında bazı güvenlik önlemlerinin uygulanması gerekir.
Güçlü Parola Politikaları
Servis hesapları için uzun ve karmaşık parolalar kullanılmalıdır.
Managed Service Accounts Kullanımı
Servis hesaplarının parolalarının otomatik yönetilmesi güvenliği artırabilir.
Pre-Authentication Özelliğini Açık Tutmak
Kullanıcı hesaplarında Kerberos pre-authentication özelliği devre dışı bırakılmamalıdır.
SPN Hesaplarını Denetlemek
Active Directory ortamındaki servis hesapları düzenli olarak analiz edilmelidir.
Güvenlik İzleme Sistemleri
Şüpheli Kerberos istekleri ve anormal kimlik doğrulama girişimleri güvenlik araçları ile izlenmelidir.
Sonuç
Kerberoasting ve AS-REP Roasting saldırıları, Active Directory ortamlarında kullanılan Kerberos kimlik doğrulama mekanizmasını hedef alan önemli saldırı teknikleridir. Bu saldırılar doğrudan sisteme sızmak yerine Kerberos protokolünden elde edilen şifrelenmiş veriler üzerinde parola kırma saldırıları gerçekleştirmeye dayanır.
Zayıf parola politikaları ve yanlış yapılandırılmış kullanıcı hesapları bu tür saldırıların başarılı olmasına neden olabilir. Bu nedenle Active Directory ortamlarında güçlü parola politikalarının uygulanması, servis hesaplarının doğru şekilde yönetilmesi ve güvenlik denetimlerinin düzenli olarak yapılması büyük önem taşır.
Doğru güvenlik önlemleri uygulandığında Kerberoasting ve AS-REP Roasting saldırılarına karşı sistemlerin korunması mümkündür.
Tags :
#ActiveDirectory,#ASREPRoasting,#Kerberoasting,#Kerberos,#ParolaSaldırıları,#Pentest,#SiberGüvenlik,#SiberSavunma
Share This :