Restablecer la contraseña

Descripción

La entidad de seguridad de origen puede restablecer la contraseña del destino, lo que le permite autenticarse como el destino usando la nueva contraseña atribuida y aprovecharse de los privilegios del destino.

Restablecer una contraseña no es lo mismo que cambiar una contraseña, algo que puede hacer cualquiera que conozca la contraseña actual. En general, un cambio de contraseña se produce cuando una contraseña vence.

Explotación

Los atacantes que ponen en peligro la entidad de seguridad de origen pueden restablecer la contraseña del destino a través de comandos nativos de Windows (como “net user /domain”), cmdlets de PowerShell (como “Set-ADAccountPassword - Reset”), herramientas de administración (como “Usuarios y equipos de Active Directory”) o herramientas para hackers dedicadas (como PowerSploit).

Los atacantes luego solo tienen que autenticarse en Active Directory o en el recurso de destino usando métodos de autenticación legítimos con la nueva contraseña elegida para suplantar por completo la identidad del destino.

No obstante, los atacantes en general no conocen la contraseña anterior para revertirla después del ataque. Por lo tanto, a menudo la persona legítima detrás del destino puede ver el ataque, que incluso puede provocar una denegación de servicio, en especial si se trata de cuentas de servicio.

Corrección

Los administradores de TI y el personal de soporte técnico pueden de forma legítima restablecer contraseñas. No obstante, es necesario establecer las delegaciones adecuadas para que puedan realizar esta acción solo dentro de su perímetro permitido.

Además, de acuerdo con el modelo de niveles, debe asegurarse de que el personal de un nivel inferior, como el servicio de soporte para usuarios normales, no pueda restablecer la contraseña de una cuenta de nivel superior, como la de un administrador de dominio, porque esta es una oportunidad para el escalamiento de privilegios.

Para modificar el descriptor de seguridad del destino y quitar permisos ilegítimos:

1. En “Usuarios y equipos de Active Directory”, haga clic con el botón derecho en “Propiedades” > “Seguridad”.

2. Quite el permiso “Restablecer contraseña” de la entidad de seguridad de origen.

Nota: No confunda este permiso con “Cambiar contraseña”.

Consulte también

• Agregar credencial de clave

• Agregar miembro

• Puede actuar

• Puede delegar

• Pertenece a GPO

• DCSync

• Concesión dada para actuar

• Tiene historial de SID

• Toma de control implícita

• Heredar GPO

• GPO vinculado

• Miembro de

• Es propietario

• Gestión de RODC

• Escribir DACL

• Escribir propietario