Nouvelle réglementation de cybersécurité 2026 en vigueur au Maroc. Obtenir un audit de conformité gratuit →
← Retour au blog
Ethical-hacking 2025-05-05 ⏱️ 14 min

استغلال خوادم تطبيق Active Directory: شرح هجمات Kerberoasting والتحميص AS-REP

استغلال Active Directory: شرح هجمات Kerberoasting و AS-REP Roasting

يُعد نظام (AD) بمثابة الجهاز العصبي المركزي لأكثر من 90% من شبكات الشركات حول العالم. وبالتالي، فإن استغلال واختراق خوادم وأنظمة الدليل النشط هو الركيزة الأساسية في اختبار اختراق الشبكات الداخلية ونماذج برامج الفدية الحديثة.

ضمن ترسانة الهجمات، يُفضل المهاجمون بشكل صريح سرقة الهوية وكلمات المرور عبر بروتوكول المصادقة Kerberos لأنها تعمل بشكل مطابق لحركة مرور الشبكة المشروعة. في هذا الشرح المفصل، يوضح الفريق الأحمر في Cayvora Security آليات هجومين مدمرين: Kerberoasting و AS-REP Roasting.

فهم أساسيات الثغرة

تعمل هذه الهجمات عبر استغلال عيب ميكانيكي في تطبيق شركة مايكروسوفت لنظام Kerberos: جزء من التذاكر (Tickets) التي تصدر من الخادم مشفرة عبر هاش تشفير (NTLM) المأخوذ من كلمة مرور الحساب المستخدم للخدمات، مما يسمح باعتراضه وفك تشفيره دون علم الإدارة.

1. هجوم Kerberoasting

هي تقنية من أقوى وأنجح هجمات تصعيد الامتيازات، حيث يمكن لأي مستخدم عادي تمت مصادقته في الشركة طلب تذكرة خدمة (TGS) لحساب خدمة كبرى محدد واستخراج التذكرة من الذاكرة لفك تشفيرها وكسر كلمة المرور "خارج الإنترنت".

المشكلة مع حسابات الخدمة (Service Accounts)

تقوم فرق تكنولوجيا المعلومات عادة بإعداد الحسابات الخاصة بتشغيل قواعد البيانات المبرمجة مثل SQL، بمشكلتين مميتتين: 1. وضع علامة مقصودة على "كلمة المرور لا تنتهي صلاحيتها أبدًا". 2. إعداد كلمة مرور ضعيفة غالبا، ولم تتغير منذ عقد من الزمان.

تنفيذ الهجوم

  1. يستخرج المهاجم قائمة بكافة حسابات الـ AD المرتبطة بـ SPN.
  2. يطلب تذكرة صالحة للخدمة من متحكم الدومين.
  3. يحفظ التذكرة محليا ليحولها لبرنامج Hashcat على أجهزة عملاقة خارج نطاق الشركة. بسبب كون العملية تتم دون الاتصال بالانترنت (Offline)، فإنها لا تولد أي احداث اغلاق حسابات وتتخطى رقابة ה- SOC.

2. هجوم التحميص (AS-REP Roasting)

يستهدف هذا الهجوم مرحلة مختلفة من بروتوكول Kerberos ويستغل خطأ في الإعدادات الأمنية على حسابات المستخدمين.

الإعداد الخاطئ: تعطيل المصادقة المسبقة

في بعض الأحيان، يقوم المسؤولون بتعطيل "المصادقة المسبقة" للتطبيقات القديمة، من خلال تحديد مربع "Do not require Kerberos preauthentication" على المستخدم في AD. يتيح ذلك للمهاجم إرسال طلب أعمى للخادم والحصول فوراً على رد يحتوي على تذكرة المصادقة والـ Hash الثمين الخاص بكلمة مرور الضحية، ليتم فكه أيضاً بصيغة Offline.

آليات التخفيف والمنع والدفاع

للوقاية من هذه الهجمات الداخلية الفتاكة والمدمرة لبيئة الدليل النشط يجب اتباع مايلي كعوامل ضرورية:

ضد هجوم Kerberoasting:

  • الانتقال الفوري لاستخدام حسابات الخدمة المدارة (gMSA) فهي الأقوى حيث تتحكم خوادم Windows تلقائيًا بتغيير وتقوية كلمة المرور (حتى 120 حرف) بشكل آلي ودوري.

ضد AS-REP Roasting:

  • إجراء مسوحات عبر PowerShell للبحث عن جميع مستخدمي الشبكة الذين يمتلكون خاصية إيقاف المصادقة المسبقة وتصحيحها في نفس اللحظة.

الخاتمة

تستغل هذه الهجمات القوة الحاسوبية العملاقة الحديثة لفك تشفير السياسات البشرية الضعيفة. يجب أن تعتمد الشركات على قوة كلمات المرور المشفرة عشوائياً.

هل تطبيق شبكتك الداخلية Active Directory آمن بشكل فعلي؟

تأكد من عدم وجود ثغرات إعداد مخفية وخبيثة في بنيتك، وقم بجدولة اختبار اختراق احترافي بالكامل اليوم مع طاقم خبراء Cayvora Security.

📱 احجز استشارة عبر تطبيق واتساب مجاناً

Besoin d'un audit de sécurité ?

Contactez Cayvora pour une consultation gratuite et protégez votre entreprise contre les cybermenaces.

📱 Contacter via WhatsApp

Articles connexes