GRUPO DnsAdmins PERMITE LA DOMINACIÓN TOTAL DEL DOMINIO – De DnsAdmin A Administrador De Dominio En 5 Minutos.

DnsAdmins – El grupo del Directorio Activo conocido como “DnsAdmins” permite a los miembros de este grupo tener acceso a la información del sistema DNS. Este sistema corre por defecto en los controladores de dominio porque es una parte vital que permite el funcionamiento del Servicios del Directorio Activo, más conocido como AD DS.

Las implicancias de asignar usuarios a los grupos protegidos siempre han sido infravaloradas. Muchas veces el enfoque esta puesto en los procesos de mantención y ejecución de tareas, pero casi nunca el enfoque esta puesto en la seguridad del ambiente tecnológico.

DnsAdmins – Anatomia de un ataque interno

  1. Este es el día uno del nuevo asistente del administrador de sistemas. La verdad es que este joven recién titulado tiene muchas ganas de aprender, pero le falta experiencia. Todo el mundo merece una oportunidad en la vida, así que el administrador del sistema le da como tarea entender, manejar, y mantener el sistema DNS de la empresa. El administrador del sistema toma esta decisión porque considera que darle las credenciales de administrador de dominio es demasiado riesgoso y que es una genial idea darle en un comienzo los permisos de administrador para el sistema DNS; de esta forma, el asistente se ira familiarizando con el dominio.

Por lo tanto, el administrador del sistema añade a “usuario.vulnerable”, el cual es el perfil de usuario del nuevo asistente, al grupo “DnsAdmins”. Todo esto occure en el dominio “NOTANSEGURO.COM”

DnsAdmins

DnsAdmins

Para que esta asignación de trabajo haga sentido, fue necesario también añadir a “usuario.vulnerable” al servicio llamado DNS que también corre en el controlador de dominio.

2. En el otro lado de la ciudad, un atacante ha estado trabajando por bastante tiempo en un ataque de phishing email en contra del dominio NOTANSEGURO.COM. Si, ya conocemos a la víctima… el nuevo empleado.

3. El usuario “usuario.vulnerable” permitió el acceso al atacante al momento de abrir el email infectado, y el atacante de inmediato empieza la enumeración del dominio para encontrar algún vector de ataque que le permita llegar a ser el nuevo administrador del sistema. Pronto encuentra que el perfil de su víctima pertenece al grupo “DnsAdmins”

4. Con esta información el atacante ya sabe cómo proceder. Decide incluir un comando en código base64 que le permitirá tener una conexión en reversa en un archivo llamado mimilib.dll, que pertenece a un programa llamado Mimikatz.exe (Muy pronto verán en el blog de Seguridad-Ofensiva https://seguridad-ofensiva.com/blog/ información detallada sobre Mimikatz.exe)

Atacante procediendo con la codificación del comando PowerShell que le permitirá la conexión en reversa:

Con el comando codificado, el atacante procede a pegarlo en en el archivo kdns.c; lo procesa con Visual Studio, y obtiene el archivo mimilib.dll:

Y finalmente sube mimilib.dll al controlador de dominio desde el perfil de “usuario.vulnerable” con una herramienta llamada dnscmd.exe. 

5. Con esta acción completada, solo es necesario detener y recomenzar el servicio de DNS en el controlador de dominio desde el perfil de “usuario.vulnerable”. ¿Aun recuerda que “usuario.vulnerable” es el nuevo administrador del servicio DNS y quien asigno los permisos fue el administrador de dominio?

6. Finalmente, al momento de reiniciar el servicio, el atacante recibe la conexión remota CON PERMISOS DE SISTEMA desde el controlador de dominio usando el perfil de “usuario.vulnerable” a través del escuchador codificado en PowerShell llamado PowerCat.ps1.

Como hemos tenido la oportunidad de analizar en la sección: https://seguridad-ofensiva.com/blog/directorioactivoseguridad/, en los dominios internos se presentan incontables oportunidades de ataque que están relacionadas con configuraciones no segura del sistema, si a esto anadimos las capacidades de PowerShell para ser usado como una herramienta hacking para ser indectable dentro de un dominio, las posibilidades de detectar un ataca son bastante bajas. Es necesario tener una visión ofensiva de los nuevos procedimientos de hacking para poder dar una solución oportuna a estas vulnerabilidades. En Seguridad-Ofensiva prestamos atención a estas configuraciones inseguras con el fin de entregar una solución antes de que alguien más tome ventaja de ellas.

Si desea saber más detalles en relación con este ataque y sus posibles mitigaciones, por favor contáctenos a [email protected]. Sera un placer para nosotros darle más detalles para incrementar la seguridad de su ambiente tecnológico.

¿Cómo Seguridad-Ofensiva puede ayudarme a mantener mi dominio libre de vulnerabilidades internas?

En Seguridad-Ofensiva hemos prestado atención a la situación real de los dominios. Entendemos que muchas veces los administradores de dominio no tienen tiempo para dedicarse al estudio y la búsqueda de vulnerabilidades tan peligrosas como esta porque están ocupados dando soporte a los empleados, creando nuevos usuarios o reemplazando computadores. Si ese es el caso de su departamento de tecnología, lo invitamos a que nos contacte para que de esa forma podamos contarle de nuestros procedimientos NO INVASIVOS. Nuestra intención es darle una solución real a las vulnerabilidades internas a las cuales los antivirus no pueden identificar. Sírvase contactarnos a [email protected]

Si desea conocer más de nuestros servicios especializados en la prevención de vulnerabilidades en redes internas lo invitamos a visitar: https://seguridad-ofensiva.com/pruebas-de-penetracion-internas

Nuestro Canal de YouTube

Estamos aquí para evaluar e incrementar la seguridad de su entorno tecnológico.

Leave a Reply

Your email address will not be published. Required fields are marked *