Agregar credencial de clave

Descripción

La entidad de seguridad de origen puede suplantar el destino mediante la explotación de las asignaciones de cuentas de confianza clave, también conocidas como credenciales clave o “credenciales ocultas”.

Esto es posible porque el origen tiene permiso para editar el atributo msDS-KeyCredentialLink del destino.

Muchas veces Windows Hello para empresas (WHfB) usa esta funcionalidad, pero los atacantes pueden explotarla incluso si no está en uso.

Explotación

Los atacantes que ponen en peligro la entidad de seguridad de origen tiene que editar el atributo msDS-KeyCredentialLink del equipo de destino mediante herramientas de hackeo especializadas, como Whisker o DSInternals.

El objetivo de los atacantes es agregar un nuevo certificado al atributo de este destino, para el cual tienen la clave privada. Luego pueden autenticarse como si fueran el destino con la clave privada conocida usando el protocolo PKINIT de Kerberos para obtener un TGT. Este protocolo también permite que los atacantes obtengan el hash NTLM del destino.

Corrección

Varias entidades de seguridad privilegiadas de forma nativa tienen este permiso de manera predeterminada, a saber, Operadores de cuentas, Administradores, Administradores de dominio, Administradores de empresas, Administradores empresariales de claves, Administradores de claves y SISTEMA. Estas entidades de seguridad legítimas no requieren corrección.

Este permiso se deberá quitar de las entidades de seguridad de origen que no tengan una necesidad legítima de modificar este atributo. Busque permisos como “Escribir todas las propiedades”, “Escribir msDS-AllowedToActOnBehalfOfOtherIdentity”, “Control total”, etc.

Consulte también

• Agregar miembro

• Puede actuar

• Puede delegar

• Pertenece a GPO

• DCSync

• Concesión dada para actuar

• Tiene historial de SID

• Toma de control implícita

• Heredar GPO

• GPO vinculado

• Miembro de

• Es propietario

• Restablecer la contraseña

• Gestión de RODC

• Escribir DACL

• Escribir propietario