Privileged Groups
Gruppi noti con privilegi di amministrazione
Amministratori
Domain Admins
Enterprise Admins
Operatori di account
Questo gruppo ha il potere di creare account e gruppi che non sono amministratori nel dominio. Inoltre, consente l'accesso locale al Domain Controller (DC).
Per identificare i membri di questo gruppo, viene eseguito il seguente comando:
Aggiungere nuovi utenti è consentito, così come l'accesso locale a DC01.
Gruppo AdminSDHolder
La lista di controllo degli accessi (ACL) del gruppo AdminSDHolder è fondamentale in quanto imposta le autorizzazioni per tutti i "gruppi protetti" all'interno di Active Directory, compresi i gruppi ad alta privilegi. Questo meccanismo garantisce la sicurezza di questi gruppi impedendo modifiche non autorizzate.
Un attaccante potrebbe sfruttare ciò modificando l'ACL del gruppo AdminSDHolder, concedendo pieni permessi a un utente standard. Questo darebbe effettivamente a tale utente il pieno controllo su tutti i gruppi protetti. Se i permessi di questo utente vengono modificati o rimossi, verranno automaticamente ripristinati entro un'ora a causa del design del sistema.
I comandi per visualizzare i membri e modificare le autorizzazioni includono:
È disponibile uno script per accelerare il processo di ripristino: Invoke-ADSDPropagation.ps1.
Per ulteriori dettagli, visita ired.team.
Cestino di Active Directory
L'appartenenza a questo gruppo consente la lettura degli oggetti di Active Directory eliminati, che possono rivelare informazioni sensibili:
Accesso al Domain Controller
L'accesso ai file sul DC è limitato a meno che l'utente faccia parte del gruppo Server Operators
, il che cambia il livello di accesso.
Escalation dei privilegi
Utilizzando PsService
o sc
da Sysinternals, è possibile ispezionare e modificare le autorizzazioni dei servizi. Ad esempio, il gruppo Server Operators
ha il controllo completo su determinati servizi, consentendo l'esecuzione di comandi arbitrari e l'escalation dei privilegi:
Questo comando rivela che gli Operatori del server
hanno pieno accesso, consentendo la manipolazione dei servizi per ottenere privilegi elevati.
Operatori di backup
L'appartenenza al gruppo Operatori di backup
fornisce accesso al sistema di file di DC01
grazie ai privilegi SeBackup
e SeRestore
. Questi privilegi consentono la navigazione delle cartelle, l'elenco e la copia dei file, anche senza autorizzazioni esplicite, utilizzando il flag FILE_FLAG_BACKUP_SEMANTICS
. È necessario utilizzare script specifici per questo processo.
Per elencare i membri del gruppo, eseguire:
Attacco Locale
Per sfruttare questi privilegi a livello locale, vengono seguiti i seguenti passaggi:
Importare le librerie necessarie:
Abilita e verifica
SeBackupPrivilege
:
Look for SeBackupPrivilege
in the output. If it is listed, then the privilege is enabled for the user.
Cerca SeBackupPrivilege
nell'output. Se è elencato, allora il privilegio è abilitato per l'utente.
Accedere e copiare file da directory restritte, ad esempio:
Attacco AD
L'accesso diretto al file system del Domain Controller consente il furto del database NTDS.dit
, che contiene tutti gli hash NTLM degli utenti e dei computer di dominio.
Utilizzando diskshadow.exe
Creare una copia shadow del drive
C
:
Copia
NTDS.dit
dalla copia shadow:
In alternativa, utilizzare robocopy
per la copia dei file:
Estrarre
SYSTEM
eSAM
per il recupero dell'hash:
Recupera tutti gli hash da
NTDS.dit
:
Utilizzo di wbadmin.exe
Configurare il filesystem NTFS per il server SMB sulla macchina dell'attaccante e memorizzare le credenziali SMB sulla macchina di destinazione.
Utilizzare
wbadmin.exe
per il backup di sistema e l'estrazione diNTDS.dit
:
Per una dimostrazione pratica, guarda VIDEO DIMOSTRATIVO CON IPPSEC.
DnsAdmins
I membri del gruppo DnsAdmins possono sfruttare i loro privilegi per caricare una DLL arbitraria con privilegi di sistema su un server DNS, spesso ospitato su Domain Controller. Questa capacità offre un notevole potenziale di sfruttamento.
Per elencare i membri del gruppo DnsAdmins, utilizzare:
Eseguire DLL arbitrarie
I membri possono far caricare al server DNS una DLL arbitraria (sia localmente che da una condivisione remota) utilizzando comandi come:
È necessario riavviare il servizio DNS (che potrebbe richiedere autorizzazioni aggiuntive) affinché la DLL venga caricata:
Per ulteriori dettagli su questo vettore di attacco, consulta ired.team.
Mimilib.dll
È anche possibile utilizzare mimilib.dll per l'esecuzione di comandi, modificandolo per eseguire comandi specifici o reverse shell. Controlla questo post per ulteriori informazioni.
Record WPAD per MitM
DnsAdmins può manipolare i record DNS per eseguire attacchi Man-in-the-Middle (MitM) creando un record WPAD dopo aver disabilitato la lista di blocco delle query globali. Strumenti come Responder o Inveigh possono essere utilizzati per il falsificare e catturare il traffico di rete.
Lettori di log degli eventi
I membri possono accedere ai log degli eventi, potenzialmente trovando informazioni sensibili come password in chiaro o dettagli sull'esecuzione dei comandi:
Permessi di Exchange Windows
Questo gruppo può modificare i DACLs sull'oggetto di dominio, potenzialmente concedendo privilegi DCSync. Le tecniche per l'elevazione dei privilegi che sfruttano questo gruppo sono dettagliate nel repository GitHub Exchange-AD-Privesc.
Amministratori di Hyper-V
Gli amministratori di Hyper-V hanno pieno accesso a Hyper-V, che può essere sfruttato per ottenere il controllo sui controller di dominio virtualizzati. Ciò include la clonazione dei DC attivi e l'estrazione degli hash NTLM dal file NTDS.dit.
Esempio di sfruttamento
Il servizio di manutenzione di Mozilla di Firefox può essere sfruttato dagli amministratori di Hyper-V per eseguire comandi come SYSTEM. Ciò comporta la creazione di un collegamento rigido a un file SYSTEM protetto e la sua sostituzione con un eseguibile dannoso:
Nota: Lo sfruttamento dei collegamenti rigidi è stato mitigato nelle recenti aggiornamenti di Windows.
Gestione dell'organizzazione
Negli ambienti in cui è implementato Microsoft Exchange, esiste un gruppo speciale chiamato Gestione dell'organizzazione che possiede capacità significative. Questo gruppo ha il privilegio di accedere alle caselle di posta di tutti gli utenti del dominio e mantiene il controllo completo sull'Unità Organizzativa (OU) 'Gruppi di sicurezza di Microsoft Exchange'. Questo controllo include il gruppo Exchange Windows Permissions
, che può essere sfruttato per l'elevazione dei privilegi.
Sfruttamento dei privilegi e comandi
Operatori di stampa
I membri del gruppo Operatori di stampa sono dotati di diversi privilegi, tra cui il SeLoadDriverPrivilege
, che consente loro di effettuare l'accesso locale a un Domain Controller, spegnerlo e gestire le stampanti. Per sfruttare questi privilegi, specialmente se SeLoadDriverPrivilege
non è visibile in un contesto non elevato, è necessario bypassare il Controllo dell'Account Utente (UAC).
Per elencare i membri di questo gruppo, viene utilizzato il seguente comando PowerShell:
Per tecniche di exploit più dettagliate relative a SeLoadDriverPrivilege
, si consiglia di consultare risorse specifiche sulla sicurezza.
Utenti Desktop Remoto
I membri di questo gruppo hanno accesso ai PC tramite il protocollo Desktop Remoto (RDP). Per enumerare questi membri, sono disponibili comandi PowerShell:
Ulteriori approfondimenti sull'exploit di RDP possono essere trovati nelle risorse dedicate al pentesting.
Utenti di gestione remota
I membri possono accedere ai PC tramite Windows Remote Management (WinRM). L'enumerazione di questi membri viene ottenuta attraverso:
Per le tecniche di exploit legate a WinRM, consultare la documentazione specifica.
Operatori del server
Questo gruppo ha le autorizzazioni per eseguire varie configurazioni sui controller di dominio, inclusi i privilegi di backup e ripristino, la modifica dell'ora di sistema e l'arresto del sistema. Per enumerare i membri, viene fornito il seguente comando:
Riferimenti
Last updated