# (RBCD) Resource-based constrained

El ataque de delegación restringida basada en recursos (RBCD) en Active Directory es un método avanzado que permite a un atacante con ciertos privilegios en una cuenta (usualmente una cuenta de máquina) manipular el atributo `msDS-AllowedToActOnBehalfOfOtherIdentity` en un objeto de Active Directory (como un equipo o servicio) para permitir que esa cuenta actúe en nombre de cualquier otro usuario del dominio.

Los pasos técnicos clave para realizar un ataque RBCD son:

1. <mark style="color:red;">**Compromiso Inicial**</mark><mark style="color:red;">:</mark> El atacante necesita comprometer inicialmente una cuenta con permisos suficientes para modificar atributos de objetos en Active Directory.
2. <mark style="color:red;">**Modificación del Atributo**</mark> **`msDS-AllowedToActOnBehalfOfOtherIdentity`**<mark style="color:red;">:</mark> Utilizando herramientas de administración de AD o scripts, el atacante establece este atributo en el objeto objetivo (como una computadora) para permitir que una cuenta específica actúe en su nombre.
3. <mark style="color:red;">**Creación de un Ticket Falsificado**</mark><mark style="color:red;">:</mark> El atacante crea un ticket Kerberos falsificado (TGT) para el usuario que desea impersonar (como un administrador).
4. <mark style="color:red;">**Uso de la Delegación**</mark><mark style="color:red;">:</mark> Con el TGT falsificado, el atacante utiliza la delegación restringida para solicitar tickets de servicio (TGS) para acceder a otros recursos o servicios en el dominio como si fuera el usuario impersonado.

Este tipo de ataque es particularmente peligroso debido a su capacidad de escalar privilegios y acceder a recursos sensibles sin necesidad de comprometer directamente las credenciales de usuarios de alto nivel. La mitigación efectiva incluye el monitoreo y la administración estricta de permisos, especialmente en relación con la modificación de atributos críticos de AD y la vigilancia de comportamientos anómalos en la actividad de Kerberos.

> El ataque de delegación restringida basada en recursos (RBCD) está relacionado con los permisos `GenericAll` en el sentido de que, si un atacante obtiene derechos `GenericAll` sobre un objeto de Active Directory, puede modificar el atributo `msDS-AllowedToActOnBehalfOfOtherIdentity` del objeto. Los derechos `GenericAll` otorgan control total sobre un objeto, incluida la capacidad de cambiar sus atributos. Por lo tanto, si un atacante tiene `GenericAll` en un objeto de computadora, puede configurar ese objeto para permitir la delegación restringida, lo cual es clave en la ejecución de un ataque RBCD.

{% hint style="info" %}
Esta tecnica sera abordada en el curso CPAD-200.
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://books.spartan-cybersec.com/cpad/vulnerabilidades-y-ataques-en-ad/rbcd-resource-based-constrained.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.