Tipos de permisos
AnteriorEnumeracion con PowerViewSiguienteTabla de Referencia de Permisos y Derechos en Active Directory
Última actualización
Última actualización
En un entorno de Active Directory (AD), los permisos o derechos sobre los objetos pueden ser asignados a través de las Listas de Control de Acceso (ACLs). Estos permisos definen qué acciones puede realizar un usuario o grupo sobre un objeto determinado dentro del directorio. A continuacion explicaremos, cada uno de los permisos ms comunes y cómo podrían ser utilizados por un atacante:
Derechos totales sobre el objeto.
Uso por un atacante: Este permiso otorga control total sobre un objeto. Un atacante podría agregar usuarios a grupos, restablecer contraseñas o modificar cualquier aspecto del objeto en cuestión.
Actualización de los atributos del objeto.
Uso por un atacante: Con este permiso, un atacante podría cambiar atributos críticos de un objeto, como el script de inicio de sesión, lo que podría utilizarse para ejecutar comandos maliciosos cuando los usuarios inicien sesión.
Cambiar el propietario del objeto a un usuario controlado por el atacante.
Uso por un atacante: Al cambiar el propietario de un objeto a una cuenta que controla, el atacante puede asumir todos los derechos sobre dicho objeto, permitiéndole modificarlo a voluntad o incluso eliminarlo.
Modificar las ACEs (Entradas de Control de Acceso) del objeto y darle al atacante plenos derechos sobre el objeto.
Uso por un atacante: Este permiso permite a un atacante alterar las ACLs del objeto, dándose a sí mismo más permisos y, potencialmente, obtener control completo sobre él.
Capacidad de añadir usuarios a un grupo o restablecer contraseñas.
Uso por un atacante: Los derechos extendidos incluyen acciones críticas como añadir un usuario a un grupo administrativo o restablecer la contraseña de cualquier usuario, lo cual podría ser abusado para escalar privilegios o tomar control de cuentas.
Capacidad de cambiar la contraseña de un usuario.
Uso por un atacante: Este permiso permite al atacante cambiar la contraseña de un usuario sin conocer la contraseña actual, lo que podría usarse para comprometer cuentas sin alertar al usuario legítimo.
Capacidad de añadirse a uno mismo a un grupo.
Uso por un atacante: Si un atacante puede otorgarse a sí mismo la membresía a un grupo privilegiado, puede elevar sus privilegios dentro del entorno de AD.
