Cómo los adversarios logran persistencia utilizando AdminSDHolder y SDProp

Una vez que un adversario ha comprometido credenciales privilegiadas, por ejemplo, al explotar una ruta de ataque, quieren asegurarse de no perder su punto de apoyo en el dominio. Es decir, incluso si las cuentas que han comprometido se deshabilitan o se restablecen sus contraseñas, quieren poder recuperar fácilmente los derechos de Administrador del Dominio.

Una forma de lograr esta persistencia es explotar características de Active Directory que están destinadas a mantener protegidas las cuentas privilegiadas: AdminSDHolder y SDProp. Este artículo explica cómo funciona esta táctica y cómo defenderse contra ella.

¿Qué son AdminSDHolder y SDProp?

AdminSDHolder es un contenedor que existe en cada Active Directory domain con un propósito especial: La lista de control de acceso (ACL) del objeto AdminSDHolder se utiliza como plantilla para copiar permisos a todos los groups in Active Directory y sus miembros. (Protected groups son aquellos grupos integrados que han sido identificados como que requieren seguridad adicional, incluyendo Domain Admins, Administrators, Enterprise Admins y Schema Admins.)

El proceso SDProp aplica la ACL del objeto AdminSDHolder a todos los grupos protegidos y sus usuarios miembros cada 60 minutos por defecto. Dado que la ACL para AdminSDHolder está diseñada para ser muy restrictiva, este proceso normalmente ayuda a reforzar la seguridad.

Sin embargo, si un atacante modifica la ACL de AdminSDHolder, entonces esos permisos de acceso modificados se aplicarán automáticamente a todos los objetos protegidos en su lugar. Por ejemplo, un adversario podría agregar una cuenta de usuario que controlan a la ACL de AdminSDHolder y otorgarle permisos de control total:

Incluso si un administrador ve un permiso inapropiado en un objeto protegido en particular y lo elimina, el proceso SDProp simplemente volverá a aplicar la ACL modificada dentro de una hora. Como resultado, esta estrategia ayuda a los atacantes a obtener acceso a información sensible.

Evaluando su riesgo utilizando AdminCount

AdminCount es un atributo de los objetos de Active Directory. Un valor de AdminCount de 1 indica que el objeto es (o ha sido) miembro de al menos un grupo protegido. Por lo tanto, al observar todos los objetos con un valor de AdminCount de 1, obtendrá una idea de cuán generalizado podría ser un ataque contra AdminSDHolder en su entorno.

Este análisis se puede realizar fácilmente con PowerShell y una operación de filtro LDAP:

      $ldapFilter = “(adminCount=l)”

$domain = New-Object System.DirectoryServices.DirectoryEntry

$search = New-Object System.DirectoryServices.DirectorySearcher

$search.SearchRoot = $domain

$search.PageSize = 1000

$search.Filter = $ldapFilter

$search.SearchScope = “Subtree”

$results = $search.FindAll()

foreach ($result in $results)

      {

             SuserEntry = $result.GetDirectoryEntry()

             Write-host “Object Name = “ $userEntry.name

             Write-host “Obect Class = “ $userEntry.objectClass

             foreach($AdminCount in $userEntry.adminCount)

             {

                   Write-host “AdminCount =” $AdminCount

                   Write-host “”

             }

}
      

Un punto a tener en cuenta es que incluso si un usuario es eliminado de un grupo privilegiado, su valor AdminCount permanece en 1; sin embargo, ya no se les considera un objeto protegido por Active Directory, por lo que la ACL de AdminSDHolder no se les aplicará. No obstante, es probable que todavía tengan una versión de los permisos de AdminSDHolder establecidos porque la herencia de sus permisos seguirá estando deshabilitada como remanente de cuando estaban protegidos por los permisos de AdminSDHolder. Por lo tanto, sigue siendo útil observar estos objetos y, en la mayoría de los casos, activar la herencia de permisos.

Protección contra el abuso de AdminSDHolder

Solo los usuarios con derechos administrativos pueden modificar la ACL de AdminSDHolder, por lo que la mejor manera de protegerse contra esta táctica de persistencia es prevenir el compromiso de las credenciales administrativas.

Además, en caso de que una cuenta administrativa sea comprometida, es importante monitorear el objeto AdminSDHolder y recibir alertas sobre cualquier cambio. Los cambios nunca deberían suceder, por lo que cualquier alerta vale la pena investigarla e invertirla inmediatamente.

También es importante informar regularmente sobre los objetos con un valor de AdminCount de 1. Si alguno de esos objetos no debería tener derechos administrativos, colóquelo en la ubicación correcta y asegúrese de que esté heredando permisos.

Cómo Netwrix puede ayudar

La Netwrix Active Directory Security Solution puede apoyar los esfuerzos de su organización para defenderse contra ataques que abusan de AdminSDHolder y SDProp. En particular, usted puede:

• Proteja las cuentas privilegiadas para evitar que sean comprometidas y utilizadas para modificar AdminSDHolder.
• Detecte rápidamente comportamientos sospechosos que indiquen un compromiso de identidad.
• Monitoree el objeto AdminSDHolder y reciba alertas sobre cualquier cambio en él.
• Identifique y elimine permisos excesivos para limitar el daño de credenciales comprometidas.
• Manténgase informado sobre cualquier cambio realizado en su entorno de Active Directory a través de alertas en tiempo real e informes detallados.

Preguntas frecuentes

¿Qué es AdminSDHolder?

AdminSDHolder es un objeto contenedor que se crea en cada dominio de Active Directory. Su ACL se aplica automáticamente a todos los grupos protegidos en el dominio y a sus miembros.

¿Dónde se encuentra AdminSDHolder?

El contenedor AdminSDHolder se encuentra en el contenedor del sistema (CN=System). Puede verlo habilitando “Características avanzadas” en Active Directory Users and Computers (ADUC) consola de administración.

¿Qué es AdminCount?

AdminCount es un atributo de objetos de AD. Un valor de AdminCount de 1 indica que el objeto es (o ha sido) miembro de al menos un grupo protegido.