Gestión de RODC

Descripción

La entidad de seguridad de origen se encuentra en el atributo “ManagedBy” del controlador de dominio de solo lectura (RODC) de destino. Es decir, el origen tiene derechos administrativos sobre el RODC de destino.

Nota: Otros tipos de objetos de Active Directory usan el mismo atributo “ManagedBy” solo con fines informativos y no otorgan ningún derecho administrativo al administrador declarado. Por lo tanto, esta relación solo existe para los nodos de destino del tipo RODC.

Los RODC son menos confidenciales que los controladores de dominio que permiten escritura más comunes, pero siguen siendo un objetivo de alto valor para los atacantes, ya que pueden robar credenciales de los RODC para permitirles acceder a otros sistemas. Esto depende del nivel de endurecimiento de la configuración del RODC; por ejemplo, la cantidad de objetos con secretos que puede sincronizar.

Explotación

El método de explotación es idéntico al de la relación “AdminTo”.

Los atacantes que ponen en peligro la entidad de seguridad de origen pueden usar su identidad para conectarse de forma remota y ejecutar comandos en el RODC de destino con derechos administrativos. Pueden explotar protocolos nativos disponibles, como bloque de mensajes del servidor (SMB), con recursos compartidos administrativos, Protocolo de escritorio remoto (RDP), Instrumental de administración de Windows (WMI), llamada a procedimiento remoto (RPC), Administración remota de Windows (WinRM), etc.

Los atacantes pueden usar herramientas de administración remota nativas, como PsExec, servicios, tareas programadas, Invoke-Command, etc., o herramientas para hackers especializadas, como wmiexec, smbexec, Invoke-DCOM, SharpRDP, etc.

El objetivo final del ataque puede ser poner en peligro el RODC de destino o usar herramientas de volcado de credenciales, como mimikatz, para obtener más credenciales y secretos para acceder a otras máquinas.

Corrección

Si la entidad de seguridad de origen no es un administrador legítimo del controlador de dominio de solo lectura (RODC) de destino, deberá reemplazarlo por un administrador adecuado.

Tenga en cuenta que, en general, los administradores de dominio no administran los RODC, de ahí la opción dedicada “administrado por”. Esto se debe a que los RODC tienen un nivel de confianza más bajo y los administradores de dominio con altos privilegios no deberían exponer sus credenciales al autenticarse en ellos.

Por lo tanto, debe seleccionar un administrador de “nivel medio” adecuado para los RODC de acuerdo con las reglas de RODC de Active Directory; por ejemplo, el administrador de TI de la sucursal local de una organización donde se encuentran.

Para cambiar el atributo “ManagedBy”:

  1. En “Usuarios y equipos de Active Directory”, seleccione la pestaña “RODC” > Propiedades > ManagedBy.

  2. Haga clic en Cambiar.

También puede ejecutar el siguiente comando en PowerShell:

Copiar 
 Set-ADComputer <rodc> -ManagedBy (Get-ADUser <rodc_admin>)

Consulte también