Puede actuar

Descripción

La entidad de seguridad de origen puede realizar la delegación restringida basada en recursos de Kerberos en el equipo de destino. Es decir, puede suplantar la identidad de cualquier usuario cuando se autentique con Kerberos en cualquier servicio que se ejecute en el equipo de destino.

Por lo tanto, a menudo conduce a un riesgo total en el equipo de destino.

Este ataque también se conoce como “delegación restringida basada en recursos (RBCD)”, “delegación restringida basada en recursos de Kerberos (KRBCD)”, “delegación restringida de Kerberos basada en recursos (RBKCD)” y “Allowed-To-Act-On-Behalf-of-Other-Identity”.

Explotación

Los atacantes que ponen en peligro la entidad de seguridad de origen pueden usar herramientas para hackers dedicadas, como Rubeus, para explotar extensiones legítimas del protocolo Kerberos (S4U2self y S4U2proxy) con el fin de falsificar tickets de servicio de Kerberos y suplantar la identidad del usuario de destino. Es probable que los atacantes elijan suplantar la identidad de un usuario privilegiado para obtener acceso privilegiado.

Una vez que los atacantes falsifican el ticket de servicio, pueden usar cualquier herramienta de administración nativa o herramienta para hackers especializada compatible con Kerberos para ejecutar comandos arbitrarios de forma remota.

Un intento de explotación exitoso debe cumplir las siguientes restricciones:

• Las entidades de seguridad de origen y de destino deben tener un atributo ServicePrincipalName. Tenable Identity Exposure no crea esta relación de ataque sin esta condición.

• La cuenta que se va a suplantar no debe estar marcada como “es importante y no se puede delegar” (ADS_UF_NOT_DELEGATED en UserAccountControl) ni ser miembro del grupo “Usuarios protegidos”, ya que Active Directory protege dichas cuentas de los ataques de delegación.

Corrección

Si la entidad de seguridad de origen no necesita el permiso para realizar la delegación restringida basada en recursos (RBCD) de Kerberos en el equipo de destino, debe quitarlo. La modificación debe hacerse en el lado de destino, a diferencia de la relación de ataque de delegación “Puede delegar”.

No es posible administrar la RBCD con las herramientas de administración gráfica existentes, como “Usuarios y equipos de Active Directory”. En su lugar, debe usar PowerShell para modificar el contenido del atributo msDS-AllowedToActOnBehalfOfOtherIdentity.

Use los siguientes comandos para enumerar las entidades de seguridad de origen que pueden actuar en el destino (en la sección “Acceso:”):

Get-ADComputer target -Properties msDS-AllowedToActOnBehalfOfOtherIdentity | Select-Object -ExpandProperty msDS-AllowedToActOnBehalfOfOtherIdentity | Format-List

Si no quiere ninguna de las entidades de seguridad que se enumeran, puede borrarlas todas con este comando:

Set-ADComputer target -Clear "msDS-AllowedToActOnBehalfOfOtherIdentity"

Si solo tiene que quitar de la lista una entidad de seguridad, por desgracia Microsoft no proporciona un comando directo. Tiene que sobrescribir el atributo con la misma lista menos el que quiera quitar. Por ejemplo, si se permiten “sourceA”, “sourceB” y “sourceC” y quiere solo “sourceB”, ejecute:

Set-ADComputer target -PrincipalsAllowedToDelegateToAccount (Get-ADUser sourceA),(Get-ADUser sourceC)

Por último, como recomendación general, para limitar la exposición de las cuentas privilegiadas confidenciales a dichos ataques de delegación, Tenable Identity Exposure recomienda que se marquen como “es importante y no se puede delegar” (ADS_UF_NOT_DELEGATED) o se agreguen al grupo “Usuarios protegidos”, después de una verificación cuidadosa de los efectos operativos asociados.

Consulte también

• Agregar credencial de clave

• Agregar miembro

• Puede delegar

• Pertenece a GPO

• DCSync

• Concesión dada para actuar

• Tiene historial de SID

• Toma de control implícita

• Heredar GPO

• GPO vinculado

• Miembro de

• Es propietario

• Restablecer la contraseña

• Gestión de RODC

• Escribir DACL

• Escribir propietario