Tiene historial de SID

Descripción

La entidad de seguridad de origen tiene el identificador de seguridad de la entidad de seguridad de destino en su atributo SIDHistory, lo que hace que el origen tenga los mismos derechos que el destino.

El historial de SID es un mecanismo legítimo que se usa al migrar entidades de seguridad entre dominios para mantener funcionales todas las autorizaciones que hacen referencia a su identificador de seguridad anterior.

Sin embargo, este también es un mecanismo de persistencia que usan los atacantes, ya que permite que una cuenta con una puerta trasera discreta tenga los mismos derechos que el destino deseado, como una cuenta de administrador.

Explotación

Los atacantes que ponen en peligro la entidad de seguridad de origen pueden autenticarse directamente como la entidad de seguridad de destino, ya que el identificador de seguridad del destino se agrega de forma transparente al token que generan los mecanismos de autenticación de Active Directory (NTLM y Kerberos).

Corrección

Si las entidades de seguridad de origen y destino están relacionadas con una migración de dominio aprobada, puede considerar que la relación es legítima y no hacer nada. Esta relación se mantiene visible como recordatorio de una posible ruta de ataque.

Si el dominio de origen se eliminó después de la migración o no está configurado en Tenable Identity Exposure, la entidad de seguridad de destino se marca como sin resolver. Dado que el riesgo reside en el destino y este no existe, no hay riesgo y, por lo tanto, no se requiere ninguna corrección.

Por el contrario, es muy probable que las relaciones del historial de SID con usuarios o grupos con privilegios de forma nativos sean malintencionadas, ya que Active Directory impide su creación. Es decir, probablemente se crearon usando técnicas de hackers, como un ataque “DCShadow”. También puede encontrar estos casos en el IoE relacionado con “Historial de SID”.

Si es así, Tenable Identity Exposure recomienda un examen forense de todo el bosque de Active Directory. La razón es que los atacantes deben haber obtenido privilegios elevados (administrador de dominio o equivalente) para editar de forma malintencionada el historial de SID del origen. El examen forense lo ayuda a analizar el ataque con la guía de corrección correspondiente e identifica posibles puertas traseras para eliminar.

Por último, Microsoft recomienda modificar todos los derechos de acceso en todos los servicios (recursos compartidos de SMB, Exchange, etc.) para usar los nuevos identificadores de seguridad y eliminar los valores de SIDHistory innecesarios una vez que se complete esta migración. Esta es una práctica recomendada de mantenimiento, aunque identificar exhaustivamente y corregir todas las ACL es muy difícil.

Un usuario que tenga derecho a editar el atributo SIDHistory en el objeto de origen en sí puede quitar los valores de SIDHistory. Al contrario de la creación, esta operación no requiere derechos de administrador de dominio.

Para hacer esto, solo puede usar PowerShell, dado que las herramientas gráficas, como Usuarios y equipos de Active Directory, fallarán. Ejemplo:

Set-ADUser -Identity <user> -Remove @{sidhistory="S-1-..."}

Precaución: Si bien eliminar un valor de SIDHistory es sencillo, revertir esta operación es muy complicado. Esto se debe a que tiene que volver a crear el valor de SIDHistory, lo que requiere la presencia del otro dominio, que tal vez haya quedado fuera de servicio. Por este motivo, Microsoft también recomienda preparar instantáneas o copias de seguridad.

Consulte también

• Agregar credencial de clave

• Agregar miembro

• Puede actuar

• Puede delegar

• Pertenece a GPO

• DCSync

• Concesión dada para actuar

• Toma de control implícita

• Heredar GPO

• GPO vinculado

• Miembro de

• Es propietario

• Restablecer la contraseña

• Gestión de RODC

• Escribir DACL

• Escribir propietario