GPO vinculado
Descripción
El GPO de origen está vinculado al contenedor vinculable de destino, como un dominio o una unidad organizativa (OU). Es decir, el GPO de origen puede asignar configuraciones y ejecutar programas en los dispositivos y usuarios contenidos en el destino. El GPO de origen también se aplica a los objetos en contenedores debajo de él a través de relaciones “Heredar GPO”.
En definitiva, el GPO puede poner en peligro los dispositivos y usuarios a los que se aplica.
Explotación
Los atacantes primero deben poner en peligro el GPO de origen a través de otra relación de ataque.
Desde allí, emplean varias técnicas para realizar acciones malintencionadas sobre los dispositivos y usuarios contenidos en el destino y aquellos debajo de él. Entre otros ejemplos:
-
Aprovecharse de las “tareas programadas inmediatas” legítimas para ejecutar scripts arbitrarios en los dispositivos.
-
Agregar un nuevo usuario local con derechos administrativos en todos los dispositivos.
-
Instalar un programa MSI.
-
Deshabilitar el firewall o antivirus.
-
Conceder derechos adicionales.
-
Otras acciones.
Para modificar un GPO, los atacantes pueden editar manualmente su contenido mediante herramientas de administración, como “Administración de directivas de grupo”, o herramientas para hackers dedicadas, como PowerSploit.
Corrección
En la mayoría de los casos, vincular un GPO a un contenedor vinculable es algo normal y legítimo. Sin embargo, este vínculo aumenta la superficie de ataque donde tiene lugar, así como en los contenedores debajo de él.
Por lo tanto, para reducir los riesgos, debe vincular los GPO al nivel más bajo en la jerarquía de unidades organizativas, siempre que sea posible.
Además, los GPO requieren protección frente a modificaciones no autorizadas por parte de atacantes con el fin de no exponerlos a otras relaciones de ataque.
Consulte también