Detecciones

Permisos de objetos raíz que permiten ataques similares a DCSync

critical

Idioma:

Descripción

Los permisos equilibrados asignados a las particiones raíz (como la raíz del dominio, la partición de configuración y el esquema) tienen un efecto en todo el dominio de Active Directory. Si se definen de manera incorrecta, pueden representar una amenaza al entorno de AD y a sus objetos al permitir los ataques DCSync (y otros relacionados). Además, los permisos peligrosos podrían servir como medio para que un atacante mantenga persistencia tras un ataque.

Solución

Lleve a cabo una evaluación de seguridad de los permisos que se aplican a los objetos de la raíz de un dominio para identificar aquellos que se pueden quitar o adaptar de manera segura. Solo autorice un permiso peligroso si el entorno de Active Directory ya toma como privilegiada la cuenta o grupo configurados.

Consulte también

Privileged Accounts and Groups in Active Directory

Mimikatz DCSync Usage, Exploitation, and Detection

Detalles del indicador

Nombre: Permisos de objetos raíz que permiten ataques similares a DCSync

Nombre en clave: C-ROOTOBJECTS-SD-CONSISTENCY

Gravedad: Critical

Tipo: Active Directory Indicator of Exposure

Family: Control de acceso y permisos

Información de MITRE ATT&CK:

Táctica: TA0003 - Persistence (texto en inglés)
Táctica: TA0006 - Credential Access (texto en inglés)
- Técnicas: T1003.006 - OS Credential Dumping - DCSync (texto en inglés)

Herramientas conocidas de atacantes

gentilkiwi: Mimikatz DCSync