Seguridad

De Backup admin a domain admin…ya está.

 Estimados amigos de Inseguros !!!

Los que me conocen lo saben, soy un profundo defensor de conocer en profunidad aquello que manejas, en el tema laboral, los sistemas, en mi caso Microsoft.

Conocer los ataques y las defensas, las monitorización, la detección, la contención, es una pieza más del complejo puzzle que es la administración la sistemas. En grandes organizaciones esto puede ser tarea del depto. de Ciber, o más en detalle del BlueTeam, pero en la inmensa mayoría de organizaciones es cuestión del DEPTO. Informática…

En esta ocasión os traigo una pequeña referencia, pero que aporta más como reflexión que como técnica concreta, y es un exploit para elevar de Backup Admin a Domain Admin en un click.

El permiso SeBackupPrivilege es algo viejo y muy conocido en el mundo del pentester, y se usa, pero no te preocupes del pentester !!! preocúpate del ransomware que lo va a utilizar una vez entre en tu red…

Hace tiempo que Impacket nos ofrece esta posibilidad, con el simple dump de la SAM, SYSTEM y SECURITY del registro, a una ubicación…

Lo bueno de este exploit, es que no usa WINRM ni nada por el estilo, solo se conecta de manera remota a la clave del registro…

Y digo yo, si sabemos cómo funciona, podemos hacer dos cosas, por qué no prescindir, en la manera de lo posible, de este grupo y permiso? por qué no monitorizar los logins de estas cuentas? y lo que más aportaría, de verdad necesitamos acceso remoto al registro?

Computer Configuration > Policies > Windows Settings > Security Settings > System Services

Podemos cambiar su inicio a manual y listo, ya no permitimos ni a a los buenos ni a los malos trabajar con registro remoto.

Por supuesto, que añadiría una monitorización a esta rama del registro, donde se guarda la SAM… que creo que es algo importante. Vimos como hacerlo hace un tiempo aquí. 

Al final, como he empezado diciendo, no se trata tanto de este pequeño recurso, sino de que comprendamos que es importante conocer estos vectores de ataque y como gestionarlos.

Por otro lado, contar con una buena formación teórico-práctica es importante.
El 23 de Marzo se inicia un curso de 3 meses que imparto sobre Ciberseguridad en entornos Microsoft que te podría servir de ayuda en tu misión con la ciberseguridad en las empresas.
Si quieres estar informado, te paso un link para inscribirte en la lista y estar informado.
Gracias por leerme !!!

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.