Tipos de permisos

En un entorno de Active Directory (AD), los permisos o derechos sobre los objetos pueden ser asignados a través de las Listas de Control de Acceso (ACLs). Estos permisos definen qué acciones puede realizar un usuario o grupo sobre un objeto determinado dentro del directorio. A continuacion explicaremos, cada uno de los permisos ms comunes y cómo podrían ser utilizados por un atacante:

GenericAll

Derechos totales sobre el objeto.

Uso por un atacante: Este permiso otorga control total sobre un objeto. Un atacante podría agregar usuarios a grupos, restablecer contraseñas o modificar cualquier aspecto del objeto en cuestión.

GenericWrite

Actualización de los atributos del objeto.

Uso por un atacante: Con este permiso, un atacante podría cambiar atributos críticos de un objeto, como el script de inicio de sesión, lo que podría utilizarse para ejecutar comandos maliciosos cuando los usuarios inicien sesión.

WriteOwner

Cambiar el propietario del objeto a un usuario controlado por el atacante.

Uso por un atacante: Al cambiar el propietario de un objeto a una cuenta que controla, el atacante puede asumir todos los derechos sobre dicho objeto, permitiéndole modificarlo a voluntad o incluso eliminarlo.

WriteDACL

Modificar las ACEs (Entradas de Control de Acceso) del objeto y darle al atacante plenos derechos sobre el objeto.

Uso por un atacante: Este permiso permite a un atacante alterar las ACLs del objeto, dándose a sí mismo más permisos y, potencialmente, obtener control completo sobre él.

AllExtendedRights

Capacidad de añadir usuarios a un grupo o restablecer contraseñas.

Uso por un atacante: Los derechos extendidos incluyen acciones críticas como añadir un usuario a un grupo administrativo o restablecer la contraseña de cualquier usuario, lo cual podría ser abusado para escalar privilegios o tomar control de cuentas.

ForceChangePassword

Capacidad de cambiar la contraseña de un usuario.

Uso por un atacante: Este permiso permite al atacante cambiar la contraseña de un usuario sin conocer la contraseña actual, lo que podría usarse para comprometer cuentas sin alertar al usuario legítimo.

Self (Self-Membership)

Capacidad de añadirse a uno mismo a un grupo.

Uso por un atacante: Si un atacante puede otorgarse a sí mismo la membresía a un grupo privilegiado, puede elevar sus privilegios dentro del entorno de AD.