Detecciones

Indicadores

Información general

Indicadores de ataque

Indicadores de exposición

Cuentas con un atributo SID History peligroso

high

Idioma:

Descripción

En situaciones de migración, los administradores usan el mecanismo SID History, pero los atacantes pueden explotarlo para escalar sus privilegios.

Solución

Debería quitar los valores peligrosos que se almacenen con fines de migración.

Consulte también

How to remove SID History with PowerShell

Security Considerations for Trusts

Detalles del indicador

Nombre: Cuentas con un atributo SID History peligroso

Nombre en clave: C-ACCOUNTS-DANG-SID-HISTORY

Gravedad: High

Tipo: Active Directory Indicator of Exposure

Family: Cuentas privilegiadas

Información de MITRE ATT&CK:

Táctica: TA0001 - Initial Access (texto en inglés)
- Técnicas: T1199 - Trusted Relationship (texto en inglés)
Táctica: TA0008 - Lateral Movement (texto en inglés)
- Técnicas: T1550 - Use Alternate Authentication Material (texto en inglés)
Táctica: TA0003 - Persistence (texto en inglés)
Táctica: TA0004 - Privilege Escalation (texto en inglés)
- Técnicas: T1134.005 - Access Token Manipulation - SID-History Injection (texto en inglés)