Detecciones

Grupo principal de usuarios

critical

Idioma:

Descripción

Si bien los grupos son la manera normal de dar acceso a los recursos en un entorno, otra funcionalidad de Active Directory (AD) menos conocida, pero igual de importante, Primary Group, también puede brindar acceso a los recursos.
Primary Group ID (PGID) es un mecanismo que Microsoft creó para admitir aplicaciones UNIX heredadas que almacenan las pertenencias a grupos de manera diferente a Windows.
Por lo tanto, ser miembro de un grupo o tener un Primary Group definido para este grupo funciona exactamente igual en AD.
El software de administración de Microsoft AD conoce esta funcionalidad, pero no así todas las herramientas de supervisión externas.
Por lo tanto, usar Primary Group es, como mínimo, una práctica no recomendada y, en el peor de los casos, un riesgo de seguridad que debe atenderse.

Solución

Restablezca los atributos primaryGroupId de todos los usuarios a un valor seguro.

Consulte también

Resolving a Primary Group ID

Well-known security identifiers in Windows operating systems

Detalles del indicador

Nombre: Grupo principal de usuarios

Nombre en clave: C-DANG-PRIMGROUPID

Gravedad: Critical

Tipo: Active Directory Indicator of Exposure

Family: Cuentas privilegiadas

Información de MITRE ATT&CK:

Táctica: TA0004 - Privilege Escalation (texto en inglés)
- Técnicas: T1078 - Valid Accounts (texto en inglés)
Táctica: TA0003 - Persistence (texto en inglés)
- Técnicas: T1098 - Account Manipulation (texto en inglés)

Herramientas conocidas de atacantes

Gentil Kiwi: mimikatz - DCShadow