# LAPS Reader

LAPS (Local Administrator Password Solution) es una solución de Microsoft que gestiona las contraseñas de la cuenta de administrador local en los equipos de un dominio. Con LAPS, las contraseñas son generadas aleatoriamente, almacenadas de forma segura en un atributo del objeto de computadora correspondiente en Active Directory (AD), y accesibles solo para usuarios autorizados.

{% embed url="<https://www.thehacker.recipes/ad/movement/dacl/readlapspassword>" %}

Si un atacante compromete una cuenta que tiene permisos para leer los atributos de LAPS en AD, aquí hay varios ataques o acciones maliciosas que podría realizar:

1. <mark style="color:red;">**Acceso a Equipos Individuales**</mark><mark style="color:red;">:</mark> El atacante podría utilizar las contraseñas recuperadas para acceder a cuentas de administrador local en máquinas individuales, permitiéndole movimiento lateral dentro de la red.
2. <mark style="color:red;">**Escalada de Privilegios**</mark><mark style="color:red;">:</mark> Con acceso a la cuenta de administrador local, el atacante podría intentar escalar privilegios en la red, instalando herramientas de ataque, creando cuentas de usuario locales adicionales para mantener el acceso, o explotando otras vulnerabilidades.
3. <mark style="color:red;">**Instalación de Malware o Ransomware**</mark><mark style="color:red;">:</mark> Podría instalar malware, incluido ransomware, en los equipos a los que tiene acceso, lo que podría resultar en una interrupción significativa de los servicios y posiblemente en la exfiltración de datos.
4. <mark style="color:red;">**Recopilación de Información**</mark><mark style="color:red;">:</mark> El acceso administrativo a las estaciones de trabajo y servidores podría permitirle recopilar información confidencial y datos sensibles que podrían ser utilizados para futuros ataques o para obtener ganancias económicas.
5. <mark style="color:red;">**Movimiento Lateral**</mark><mark style="color:red;">:</mark> Podría moverse lateralmente a través de la red utilizando las credenciales obtenidas para autenticarse en otras máquinas que tengan la misma contraseña de administrador local o donde la cuenta tenga privilegios.
6. <mark style="color:red;">**Persistencia**</mark><mark style="color:red;">:</mark> Establecer múltiples puntos de persistencia en la red, asegurándose de que tenga acceso continuo incluso si una de las entradas es detectada y cerrada.
7. <mark style="color:red;">**Bypass de Seguridad**</mark><mark style="color:red;">:</mark> Con el control de cuentas de administrador local, el atacante podría desactivar o alterar configuraciones de seguridad y software antivirus para evadir la detección.
8. <mark style="color:red;">**Denegación de Servicio**</mark><mark style="color:red;">:</mark> Puede usar sus privilegios para deshabilitar servicios críticos, borrando datos o causando interrupciones en la operación normal del negocio.

### <mark style="color:red;">Para mitigar estos riesgos, es crítico:</mark>

* Limitar el acceso a los atributos de LAPS estrictamente a aquellos usuarios que lo necesiten para sus funciones.
* Monitorear activamente los registros de acceso a los atributos de LAPS para detectar y responder a accesos no autorizados o inusuales.
* Implementar principios de seguridad como el menor privilegio y segmentación de red para limitar el movimiento lateral si un atacante gana acceso.
* Realizar auditorías periódicas de las cuentas con acceso a LAPS para garantizar que solo las cuentas legítimas y necesarias tengan dichos permisos.
* Utilizar detección de anomalías y herramientas de respuesta para identificar y reaccionar rápidamente a actividades sospechosas relacionadas con el acceso a LAPS.

```powershell
PS > Import-Module .\PowerView.ps1
PS > Get-DomainComputer COMPUTER -Properties ms-mcs-AdmPwd,ComputerName,ms-mcs-AdmPwdExpirationTime
```

{% hint style="info" %}
Esta tecnica sera abordada en el curso CPAD-200.
{% endhint %}