Credenciales en descripcion
OBJETIVO DEL EJERCICIO #15:
Teniendo una autenticacion sobre cualquier usuario comprometer al usuario: clearpass.user
Este ejercicio deberia ser realizado desde el servidor de WEBSERVER.
Para realizarlo es suficiente tener encendido UNICAMENTE WEBSERVER y First-DC.
La vulnerabilidad relacionada con las "Credenciales en descripción" en Active Directory (AD) no es una vulnerabilidad en el sentido tradicional de un fallo de software o un error de diseño, sino más bien una mala práctica de administración que puede ser explotada por actores maliciosos.

Contexto: En muchos entornos de AD, es común que los administradores o técnicos de sistemas añadan comentarios o descripciones a las cuentas de usuario para ayudar a identificar o administrar esas cuentas. Estas descripciones a veces contienen información sensible, como contraseñas temporales, información de contacto o notas sobre el propósito o la configuración de una cuenta.
El problema: El atributo "description" (descripción) en un objeto de AD es legible por defecto por todos los usuarios del dominio. Esto significa que cualquier usuario, incluso sin privilegios especiales, puede consultar este atributo para todos los objetos de AD. Si los administradores han guardado contraseñas o información sensible en este campo, esta información está esencialmente expuesta a cualquiera en el dominio.
Explotación: Los atacantes o empleados maliciosos que tengan conocimiento de esta mala práctica pueden realizar consultas en AD para recuperar estos atributos de descripción y buscar información sensible. Herramientas como PowerShell
o ldapsearch
pueden usarse para extraer estos datos en masa.
Esto fue descubierto por medio del comando de PowerView:
PS C:\> Get-NetUser -properties name, description
name description
---- -----------
Administrator Built-in account for administering the computer/domain
Guest Built-in account for guest access to the computer/domain
admin
krbtgt Key Distribution Center Service Account
regular.user
dnsadmin.user
unconstrained.user
constrained.user
userwrite.user
userall.user
compwrite.user
gpowrite.user
lapsread.user LAPS yet to be implemented
groupwrite.user
writedacldc.user
readgmsa.user GMSA yet to be implemented
clearpass.user Remember to remove this! Password@1
roast.user
asrep.user
AdminWebServer
En la evidencia previa se puede apreciar que la descripcion del usuario clearpass.user contiene una posible contraseña:
clearpass.user Remember to remove this! Password@1
RDP Sobre RDP
Vamos a intentar autenticarnos con esta contraseña:

Despues de lo anterior, tendremos nuestra segunda maquina comprometida identificada como USER-SERVER:

Mitigación:
Auditar y limpiar: Realizar una revisión de todos los campos de descripción en AD para identificar y eliminar cualquier dato sensible.
Educación: Asegurarse de que los administradores y técnicos estén conscientes de esta mala práctica y se abstengan de guardar información sensible en campos abiertos o legibles.
Controles técnicos: Implementar controles técnicos o scripts que monitoricen y alerten sobre la adición de patrones sensibles (como formatos de contraseña) en los campos de descripción.
Usar herramientas de administración adecuadas: Emplear sistemas de administración de contraseñas o herramientas diseñadas para almacenar y recuperar información sensible de manera segura.
Es importante destacar que mientras esta mala práctica persista en el mundo real, no es un fallo inherente del AD, sino un error humano al manejar y almacenar la información.
Última actualización
¿Te fue útil?