# (RBCD) Resource-based constrained

El ataque de delegación restringida basada en recursos (RBCD) en Active Directory es un método avanzado que permite a un atacante con ciertos privilegios en una cuenta (usualmente una cuenta de máquina) manipular el atributo `msDS-AllowedToActOnBehalfOfOtherIdentity` en un objeto de Active Directory (como un equipo o servicio) para permitir que esa cuenta actúe en nombre de cualquier otro usuario del dominio.

Los pasos técnicos clave para realizar un ataque RBCD son:

1. <mark style="color:red;">**Compromiso Inicial**</mark><mark style="color:red;">:</mark> El atacante necesita comprometer inicialmente una cuenta con permisos suficientes para modificar atributos de objetos en Active Directory.
2. <mark style="color:red;">**Modificación del Atributo**</mark> **`msDS-AllowedToActOnBehalfOfOtherIdentity`**<mark style="color:red;">:</mark> Utilizando herramientas de administración de AD o scripts, el atacante establece este atributo en el objeto objetivo (como una computadora) para permitir que una cuenta específica actúe en su nombre.
3. <mark style="color:red;">**Creación de un Ticket Falsificado**</mark><mark style="color:red;">:</mark> El atacante crea un ticket Kerberos falsificado (TGT) para el usuario que desea impersonar (como un administrador).
4. <mark style="color:red;">**Uso de la Delegación**</mark><mark style="color:red;">:</mark> Con el TGT falsificado, el atacante utiliza la delegación restringida para solicitar tickets de servicio (TGS) para acceder a otros recursos o servicios en el dominio como si fuera el usuario impersonado.

Este tipo de ataque es particularmente peligroso debido a su capacidad de escalar privilegios y acceder a recursos sensibles sin necesidad de comprometer directamente las credenciales de usuarios de alto nivel. La mitigación efectiva incluye el monitoreo y la administración estricta de permisos, especialmente en relación con la modificación de atributos críticos de AD y la vigilancia de comportamientos anómalos en la actividad de Kerberos.

> El ataque de delegación restringida basada en recursos (RBCD) está relacionado con los permisos `GenericAll` en el sentido de que, si un atacante obtiene derechos `GenericAll` sobre un objeto de Active Directory, puede modificar el atributo `msDS-AllowedToActOnBehalfOfOtherIdentity` del objeto. Los derechos `GenericAll` otorgan control total sobre un objeto, incluida la capacidad de cambiar sus atributos. Por lo tanto, si un atacante tiene `GenericAll` en un objeto de computadora, puede configurar ese objeto para permitir la delegación restringida, lo cual es clave en la ejecución de un ataque RBCD.

{% hint style="info" %}
Esta tecnica sera abordada en el curso CPAD-200.
{% endhint %}