Detecciones

Delegación peligrosa de Kerberos

critical

Idioma:

Descripción

El protocolo Kerberos, que es fundamental para la seguridad de Active Directory, permite que ciertos servidores reutilicen las credenciales de usuarios. Si un atacante pone en peligro uno de estos servidores, podría robar estas credenciales y usarlas para autenticarse en otros recursos mediante el uso indebido de la “delegación sin restricciones” o la “delegación restringida (basada en recursos)”.

Solución

Las únicas cuentas que usen la delegación sin restricciones deben ser las cuentas del controlador de dominio. También se debe proteger a los administradores frente a cualquier tipo de delegación peligrosa.

Consulte también

Kerberos Unconstrained Delegation (or How Compromise of a Single Server Can Compromise the Domain) (texto en inglés)

Get rid of accounts that use Kerberos Unconstrained Delegation

Abusing Resource-Based Constrained Delegation to Attack Active Directory

SPN-jacking: An Edge Case in WriteSPN Abuse

SPN-jacking

Detalles del indicador

Nombre: Delegación peligrosa de Kerberos

Nombre en clave: C-UNCONST-DELEG

Gravedad: Critical

Tipo: Active Directory Indicator of Exposure

Family: Control de acceso y permisos

Información de MITRE ATT&CK:

Táctica: TA0003 - Persistence (texto en inglés)
Táctica: TA0004 - Privilege Escalation (texto en inglés)

Herramientas conocidas de atacantes

HarmJ0y, Elad Shamir: Rubeus