Service Principal Name (SPN)
Un Service Principal Name (SPN) es un identificador único asignado a cada instancia de servicio que se ejecuta en un servidor y utiliza el protocolo de autenticación Kerberos. Los SPN se utilizan en los sistemas de Active Directory (AD) para ayudar a los clientes a asociar un servicio específico con una cuenta de inicio de sesión y autenticar de forma segura los servicios de red.
Aquí hay algunos de los SPN más comunes y sus usos asociados:
HTTP: Se utiliza para servicios web o aplicaciones que funcionan sobre HTTP/S. Es importante para la autenticación en aplicaciones web y servicios que utilizan Kerberos para la autenticación integrada de Windows.
MSSQLSvc: Utilizado por las instancias de Microsoft SQL Server. Este es crítico para la autenticación y las conexiones seguras a bases de datos SQL.
WSMAN: Utilizado para la administración basada en estándares de hardware y sistemas operativos (Windows Remote Management).
TERMSRV: Utilizado por los servicios de Terminal Server (Remote Desktop Services). Es vital para la autenticación en sesiones de escritorio remoto.
CIFS: Utilizado para el sistema de archivos de Internet común, relacionado con el intercambio de archivos y los servicios de impresión.
HOST: Un SPN genérico que representa cualquier servicio predeterminado en un sistema operativo Windows.
SMTPSvc: Para el servicio de transporte de correo simple, utilizado en la autenticación de servidores de correo electrónico.
Posibles vectores de ataque:
| Tipo de servicio | Service Silver Tickets | Comando relacionado al ataque |
|---|---|---|
WMI | HOST + RPCSS |
|
PowerShell Remoting | CIFS + HTTP + (wsman?) |
|
WinRM | HTTP + wsman |
|
Scheduled Tasks | HOST |
|
Windows File Share (CIFS) | CIFS |
|
LDAP operations including Mimikatz DCSync | LDAP |
|
Windows Remote Server Administration Tools | RPCSS + LDAP + CIFS | / |
Última actualización