Privileged Groups
Grupos bien conocidos con privilegios de administración
Administradores
Administradores de Dominio
Administradores de Empresa
Operadores de Cuenta
Este grupo está facultado para crear cuentas y grupos que no son administradores en el dominio. Además, permite el inicio de sesión local en el Controlador de Dominio (DC).
Para identificar a los miembros de este grupo, se ejecuta el siguiente comando:
Agregar nuevos usuarios está permitido, así como el inicio de sesión local en DC01.
Grupo AdminSDHolder
La lista de control de acceso (ACL) del grupo AdminSDHolder es crucial, ya que establece permisos para todos los "grupos protegidos" dentro de Active Directory, incluidos los grupos de alto privilegio. Este mecanismo garantiza la seguridad de estos grupos al prevenir modificaciones no autorizadas.
Un atacante podría explotar esto modificando la ACL del grupo AdminSDHolder, otorgando permisos completos a un usuario estándar. Esto le daría efectivamente a ese usuario control total sobre todos los grupos protegidos. Si los permisos de este usuario se alteran o eliminan, se restablecerían automáticamente dentro de una hora debido al diseño del sistema.
Los comandos para revisar los miembros y modificar permisos incluyen:
Un script está disponible para acelerar el proceso de restauración: Invoke-ADSDPropagation.ps1.
Para más detalles, visita ired.team.
Papelera de reciclaje de AD
La membresía en este grupo permite la lectura de objetos de Active Directory eliminados, lo que puede revelar información sensible:
Acceso al Controlador de Dominio
El acceso a los archivos en el DC está restringido a menos que el usuario sea parte del grupo Server Operators
, lo que cambia el nivel de acceso.
Escalación de Privilegios
Usando PsService
o sc
de Sysinternals, se puede inspeccionar y modificar los permisos de los servicios. El grupo Server Operators
, por ejemplo, tiene control total sobre ciertos servicios, lo que permite la ejecución de comandos arbitrarios y la escalación de privilegios:
Este comando revela que Server Operators
tienen acceso completo, lo que permite la manipulación de servicios para obtener privilegios elevados.
Backup Operators
La membresía en el grupo Backup Operators
proporciona acceso al sistema de archivos DC01
debido a los privilegios SeBackup
y SeRestore
. Estos privilegios permiten la navegación por carpetas, la enumeración y la capacidad de copiar archivos, incluso sin permisos explícitos, utilizando la bandera FILE_FLAG_BACKUP_SEMANTICS
. Es necesario utilizar scripts específicos para este proceso.
Para listar los miembros del grupo, ejecute:
Ataque Local
Para aprovechar estos privilegios localmente, se emplean los siguientes pasos:
Importar las bibliotecas necesarias:
Habilitar y verificar
SeBackupPrivilege
:
Acceder y copiar archivos de directorios restringidos, por ejemplo:
AD Attack
El acceso directo al sistema de archivos del Controlador de Dominio permite el robo de la base de datos NTDS.dit
, que contiene todos los hashes NTLM para usuarios y computadoras del dominio.
Using diskshadow.exe
Crear una copia sombra de la unidad
C
:
Copiar
NTDS.dit
de la copia de sombra:
Alternativamente, utiliza robocopy
para copiar archivos:
Extraer
SYSTEM
ySAM
para la recuperación de hashes:
Recuperar todos los hashes de
NTDS.dit
:
Usando wbadmin.exe
Configura el sistema de archivos NTFS para el servidor SMB en la máquina atacante y almacena en caché las credenciales SMB en la máquina objetivo.
Usa
wbadmin.exe
para la copia de seguridad del sistema y la extracción deNTDS.dit
:
Para una demostración práctica, consulta VIDEO DEMOSTRATIVO CON IPPSEC.
DnsAdmins
Los miembros del grupo DnsAdmins pueden explotar sus privilegios para cargar un DLL arbitrario con privilegios de SYSTEM en un servidor DNS, a menudo alojado en Controladores de Dominio. Esta capacidad permite un potencial de explotación significativo.
Para listar los miembros del grupo DnsAdmins, usa:
Ejecutar DLL arbitraria
Los miembros pueden hacer que el servidor DNS cargue una DLL arbitraria (ya sea localmente o desde un recurso compartido remoto) utilizando comandos como:
Reiniciar el servicio DNS (lo que puede requerir permisos adicionales) es necesario para que se cargue el DLL:
Para más detalles sobre este vector de ataque, consulta ired.team.
Mimilib.dll
También es factible usar mimilib.dll para la ejecución de comandos, modificándolo para ejecutar comandos específicos o shells reversos. Consulta esta publicación para más información.
Registro WPAD para MitM
DnsAdmins pueden manipular registros DNS para realizar ataques Man-in-the-Middle (MitM) creando un registro WPAD después de deshabilitar la lista de bloqueo de consultas global. Herramientas como Responder o Inveigh se pueden usar para suplantar y capturar tráfico de red.
Lectores de Registros de Eventos
Los miembros pueden acceder a los registros de eventos, encontrando potencialmente información sensible como contraseñas en texto plano o detalles de ejecución de comandos:
Permisos de Windows de Exchange
Este grupo puede modificar DACLs en el objeto de dominio, lo que podría otorgar privilegios de DCSync. Las técnicas para la escalada de privilegios que explotan este grupo se detallan en el repositorio de GitHub Exchange-AD-Privesc.
Administradores de Hyper-V
Los Administradores de Hyper-V tienen acceso completo a Hyper-V, lo que puede ser explotado para obtener control sobre Controladores de Dominio virtualizados. Esto incluye clonar DCs en vivo y extraer hashes NTLM del archivo NTDS.dit.
Ejemplo de Explotación
El Servicio de Mantenimiento de Mozilla Firefox puede ser explotado por los Administradores de Hyper-V para ejecutar comandos como SYSTEM. Esto implica crear un enlace duro a un archivo protegido del SYSTEM y reemplazarlo con un ejecutable malicioso:
Nota: La explotación de enlaces duros ha sido mitigada en las actualizaciones recientes de Windows.
Organización de Gestión
En entornos donde se despliega Microsoft Exchange, un grupo especial conocido como Organización de Gestión tiene capacidades significativas. Este grupo tiene privilegios para acceder a los buzones de todos los usuarios del dominio y mantiene control total sobre la Unidad Organizativa (OU) 'Grupos de Seguridad de Microsoft Exchange'. Este control incluye el grupo Exchange Windows Permissions
, que puede ser explotado para la escalada de privilegios.
Explotación de Privilegios y Comandos
Operadores de Impresión
Los miembros del grupo Operadores de Impresión están dotados de varios privilegios, incluyendo el SeLoadDriverPrivilege
, que les permite iniciar sesión localmente en un Controlador de Dominio, apagarlo y gestionar impresoras. Para explotar estos privilegios, especialmente si SeLoadDriverPrivilege
no es visible en un contexto no elevado, es necesario eludir el Control de Cuentas de Usuario (UAC).
Para listar los miembros de este grupo, se utiliza el siguiente comando de PowerShell:
Para técnicas de explotación más detalladas relacionadas con SeLoadDriverPrivilege
, se deben consultar recursos de seguridad específicos.
Usuarios de Escritorio Remoto
A los miembros de este grupo se les concede acceso a PCs a través del Protocolo de Escritorio Remoto (RDP). Para enumerar a estos miembros, están disponibles comandos de PowerShell:
Más información sobre la explotación de RDP se puede encontrar en recursos dedicados de pentesting.
Usuarios de Gestión Remota
Los miembros pueden acceder a PCs a través de Windows Remote Management (WinRM). La enumeración de estos miembros se logra a través de:
Para las técnicas de explotación relacionadas con WinRM, se debe consultar la documentación específica.
Operadores de Servidor
Este grupo tiene permisos para realizar varias configuraciones en los Controladores de Dominio, incluyendo privilegios de respaldo y restauración, cambio de hora del sistema y apagado del sistema. Para enumerar los miembros, el comando proporcionado es:
Referencias
Last updated