ADMINCOUNT=1 – De Usuario Regular A Administrador De Dominio CON PERSISTENCIA En 5 Minutos.

ADMINCOUNT=1 – Los grupos protegidos y sus miembros se marcan en el Directorio Activo utilizando un atributo AdminCount, que se establece como un valor de 1.

Este atributo se asigna en forma automática cada vez que un usuario es asignado a un grupo protegido y NO VUELVE A MODIFICARSE, AUNQUE EL USUARIO HAYA SIDO REMOVIDO DEL GRUPO.

Para entender más esta configuración no segura me gustaría mencionar cuales son los usuarios y grupos protegidos en el Directorio Activo. Para eso usaremos el siguiente gráfico técnico de Microsoft:

Desde Windows 2000, el Directorio Activo tiene un mecanismo para garantizar que los miembros de grupos protegidos tengan descriptores de seguridad estandarizados y controlados. El proceso es complejo y hay muchas partes móviles que vale la pena explorar y definir. Eso es exactamente lo que trataremos de hacer en esta publicación.

En primer lugar, lo que ese número 1 significa es que la cuenta de usuario fue modificada en sus permisos en la Lista de Control de Acceso (ACL) a través de un proceso realizado por el contenedor AdminSDHolder.

Este contenedor es una plantilla que tiene ciertos permisos elevados que son replicados cada 60 minutos a través de SDPROP a las cuentas de usuarios protegidos y grupos protegidos. La única tarea de SDPROP es replicar los permisos de la plantilla de AdminSDHolder.

Entonces, la vulnerabilidad se genera cuando:

  1. El administrador de dominio crea un usuario y lo coloca en un grupo protegido.
  2. AdminSDHolder asigna un AdminCount de 1 al usuario que está en el grupo protegido a través de un proceso que se activa cada una hora a través de SDPROP con el fin de replicar la plantilla de permisos en AdminSDHolder.
  3. Con el tiempo, el administrador de dominio remueve el usuario del grupo protegido, pero el atributo AdminCount continúa siendo 1 en el perfil del usuario.

Entonces, la pregunta es: ¿qué significa todo esto y cuál es el alcance de la vulnerabilidad?

Esto significa que al usuario no se les aplicarán los permisos de la plantilla AdminSDHolder nuevamente; sin embargo, es probable que el usuario tenga una versión de los permisos AdminSDHolder todavía establecida por la herencia de sus permisos como un remanente de cuando era un usuario protegido.

La vulnerabilidad reside en que, si un atacante descubre un usuario regular que tenga un AdminCount de 1 que no esté en un grupo protegido y si el atacante tiene acceso a este perfil, este podría ejecutar acciones en el controlador de dominio, acciones bastante peligrosas…veamos…

ADMINCOUNT=1 – Anatomia de un ataque interno

En este caso, el usuario “USUARIO X” fue removido de un grupo protegido y quedó con un AdminCount de 1:

ADMINCOUNT=1

ADMINCOUNT=1

“USUARIO X” es vulnerado a través de un correo phishing, una contraseña no protegida, o a través de un ataque USB dando acceso no autorizado al atacante.

El atacante procede a enumerar los permisos de “USUARIO X” y este resulta tener los permisos de un usuario regular en el dominio:

PERO, tiene un AdminCount de 1:

De esta forma, el atacante decide añadir el perfil de su víctima “USUARIO X” a los permisos del contenedor AdminSDHolder asignándose a sí mismo (porque en definitiva él está ejecutando las acciones a través del usuario vulnerado) TODOS los permisos, como podemos apreciar en el primer comando.

Cabe destacar que todas estas acciones deben ser ejecutadas con privilegios elevados debido a que se está creando un proceso de persistencia en el controlador de dominio. Como podemos ver en el segundo comando, “USUARIO X” ya ha sido replicado al grupo “Administradores de Dominio” y el atacante está manejando este perfil.

Como resultado el atacante ha pasado a tener persistencia en el dominio y un backdoor difícil de detectar y todo debido a un número 1.

Como podemos visualizar, “USUARIO X” fue añadido al contendor AdminSDHolder con todos los permisos y replicado al grupo de “Administradores de Dominio”a través del proceso SDPROP.

Confirmando escalación de privilegios desde la perspectiva del atacante:

La persistencia del proceso radica en que si el administrador del dominio remueve a “USUARIO X” del grupo de administradores de dominio este volverá a estar localizado en el mismo grupo después de 60 minutos.

Desde este punto, el dominio fue completamente vulnerado y el ataque a causado estragos porque teniendo acceso a los permisos del administrador de dominio es cosa de minutos crear persistencia en todos los computadores y servidores usando Políticas de Grupo, PowerShell, o Windows Tasks.

Solo la reconstrucción total del dominio y/o bosque podría solucionar un ataque de este tipo afectando la producción y la reputación de la empresa afectada.

Es tremendamente importante que se tengan en cuenta este tipo de vulnerabilidades. Seguridad-Ofensiva recomienda constantemente a sus clientes que se realice un monitoreo a los grupos protegidos. También es necesario un monitoreo ininterrumpido a los permisos ACL del contenedor AdminSDHolder.

Una de las prácticas necesarias para mitigar esta configuración no segura es la detección oportuna de todos los usuarios que NO pertenezcan a grupos protegidos y que tengan un AdminCount de 1, con el fin de proceder a la modificación del atributo correspondiente.

¿Cómo Seguridad-Ofensiva puede ayudarme a mantener mi dominio libre de vulnerabilidades internas?

En Seguridad-Ofensiva hemos prestado atención a la situación real de los dominios. Entendemos que muchas veces los administradores de dominio no tienen tiempo para dedicarse al estudio y la búsqueda de vulnerabilidades tan peligrosas como esta porque están ocupados dando soporte a los empleados, creando nuevos usuarios o reemplazando computadores. Si ese es el caso de su departamento de tecnología, lo invitamos a que nos contacte para que de esa forma podamos contarle de nuestros procedimientos NO INVASIVOS. Nuestra intención es darle una solución real a las vulnerabilidades internas a las cuales los antivirus no pueden identificar. Sírvase contactarnos a [email protected]

Si desea conocer más de nuestros servicios especializados en la prevención de vulnerabilidades en redes internas lo invitamos a visitar: https://seguridad-ofensiva.com/pruebas-de-penetracion-internas

Nuestro Canal de YouTube

Estamos aquí para evaluar e incrementar la seguridad de su entorno tecnológico.

Leave a Reply

Your email address will not be published. Required fields are marked *