DCSync

Descripción

DCSync es una funcionalidad legítima de Active Directory que los controladores de dominio solo usan para replicar cambios, pero las entidades de seguridad ilegítimas también pueden usarla.

La entidad de seguridad de origen puede solicitar secretos confidenciales (hashes de contraseñas, claves de Kerberos, etc.) del dominio de destino mediante la funcionalidad DCSync, lo que, en definitiva, pone en total peligro al dominio.

Para obtener secretos, se requieren dos permisos de seguridad: “Replicar cambios de directorio” (DS-Replication-Get-Changes) y “Replicar todos los cambios de directorio” (DS-Replication-Get-Changes-All). La relación solo tiene lugar si otorga ambos permisos al origen, ya sea directamente o a través de la membresía a grupos anidados.

Explotación

Los atacantes que ponen en peligro la entidad de seguridad de origen pueden obtener secretos a través de herramientas para hackers dedicadas, como mimikatz o impacket.

  • Golden Ticket: resultados de la obtención del hash de la contraseña de la cuenta “KRBTGT”, lo que permite falsificar un TGT de Kerberos y suplantar la identidad de cualquier usuario en cualquier equipo o servicio. En particular, esto otorga privilegios administrativos sobre cualquier equipo del dominio.

  • Silver Ticket: resultado de la obtención del hash de la contraseña de una cuenta de equipo o de servicio, lo que permite falsificar un ticket de servicio de Kerberos y permite suplantar la identidad de cualquier usuario en el equipo o servicio dados.

Corrección

Las entidades de seguridad legítimas permitidas de manera predeterminada que pueden aprovechar DCSync son:

  • Administradores

  • Administradores de dominio

  • Administradores de empresas

  • SISTEMA

Además, la configuración de Microsoft Entra ID Connect permite que su cuenta de servicio de sincronización de hashes de contraseña (MSOL_...) aproveche DCSync.

Por último, es posible detectar cuentas de servicio para ciertas herramientas de seguridad, en particular soluciones de auditoría de contraseñas. Compruebe su legitimidad con los responsables.

Este permiso se deberá quitar de las entidades de seguridad de origen que no tengan una necesidad legítima de usar DCSync.

Para modificar el descriptor de seguridad del dominio de destino:

  1. En “Usuarios y equipos de Active Directory”, haga clic con el botón derecho en el nombre del dominio y seleccione “Propiedades” > “Seguridad”.

  2. Elimine los permisos “Replicar cambios de directorio” y “Replicar todos los cambios de directorio” para las entidades de seguridad ilegítimas.

Nota: Las relaciones de DCSync pueden ocurrir a través de permisos de pertenencia a grupos anidados. Por lo tanto, en función de la situación exacta, debe quitar los grupos en sí o solo algunos de sus miembros.

Consulte también