[ Нюансы RBCD ] Всем привет, друзья! В завершении года хочу поделиться интересным нюансом, связанным с эксплуатацией ограниченного делегирования на основе ресурсов Kerberos (англ. RBCD) в Active Directory 🔩 Многие специалисты по внутреннему пентесту знакомы с различными техниками абуза RBCD, поэтому детально вдаваться в механизм работы не буду, приложу дополнительно пару хороших мануалов про RBCD в целом: 👉 1. 👉 2. Перейдем сразу к интересной особенности На проекте мне в очередной раз встретилась группа "Protected Users", в которую коллеги корректно включили всех администраторов домена для защиты их УЗ от ряда техник и атак. (скриншот 1) 🐕 В том числе пользователи этой группы не могут быть "олицетворены" (в простонародье "имперсонированы") при делегировании привилегий (абуз RBCD невозможен). Однако, мне удалось запросить сервисный тикет на учетную запись 111-administrator (это была встроенная УЗ администратора домена с измененным именем; по умолчанию называется просто administrator или "администратор" в ru-доменах с RID-500). Запрос ST можно увидеть на скриншоте 2. Затем успешно использовать его для захвата необходимой мне машины (скриншот 3 с доступом к C&#036;) ⚡️ Прочитав побольше информации о данной УЗ, нашел пару тезисов об этом здесь: https://sensepost.com/blog/2023/protected-users-you-thought-you-were-safe-uh/ А также нюанс упоминается и на "рецептах хакера" (скриншот 4) Сам Microsoft пишет следующее 😭 The builtin domain Administrator (S-1-5-<domain>-500) is always exempt from Authentication Policies, even when they are assigned to an Authentication Policy Silo Думаю, соответственно, и митигации группы Protected Users на неё не действуют Таким образом, можно сделать вывод, что Protected Users не панацея от RBCD. Остается помнить об УЗ дефолтного администратора с RID 500 и предпринимать дополнительные меры по защите (возможно, самой лучшей мерой будет являться в целом отключение данной УЗ) Снова акцентируем внимание на том, что защита должна быть комплексной, не бывает волшебной кнопки в оснастке администратора/волшебной железки вида Ultimate ProMax Security NGWF. Всё должно работать системно, внедрены и оборудование, и мониторинг, применены митигации в самой инфраструктуре, а также конечно же процессы с людьми 👨‍💻 @GigaHack #pentest #internal #AD