Unconstrained Delegation

La delegación no restringida (Unconstrained Delegation) es una característica de seguridad en Active Directory que permite a un servicio o servidor obtener tickets Kerberos en nombre de un usuario que se ha autenticado en ese servicio. Esto significa que el servicio puede actuar como el usuario y acceder a otros servicios en la red utilizando las credenciales del usuario. Aquí te explico con más detalle cómo funciona y por qué es un tema importante en el pentesting y la seguridad informática.

Funcionamiento de la Delegación No Restringida:

Autenticación Inicial: Un usuario se autentica ante un servidor que tiene habilitada la delegación no restringida. Durante este proceso, el Ticket Granting Ticket (TGT) del usuario se almacena en la memoria del servidor.
Acceso a Otros Servicios: El servidor ahora puede usar ese TGT para solicitar tickets de acceso a otros servicios (service tickets) en nombre del usuario, sin ninguna restricción específica.
Potencial de Movimiento Lateral: Este servidor podría acceder a cualquier otro servicio dentro del mismo dominio (o en algunos casos, incluso en dominios de confianza) como si fuera el usuario, lo que puede permitir a un atacante moverse lateralmente en la red.

Riesgos de Seguridad:

La delegación no restringida presenta riesgos significativos:

Exposición de TGTs: Los TGTs de los usuarios pueden ser robados por atacantes que comprometen el servidor, lo que permite al atacante solicitar tickets de servicio para cualquier servicio como si fueran el usuario comprometido.
Movimiento Lateral: Un atacante puede utilizar los TGTs capturados para moverse lateralmente a través de la red y acceder a otros servicios y datos.
Escalada de Privilegios: Si el TGT pertenece a un usuario con altos privilegios, como un administrador de dominio, el atacante puede obtener un control significativo sobre la red.

AnteriorCVE-2022-33679 SiguienteTrustedToAuthForDelegation vs TrustedForDelegation

Última actualización hace 9 meses

¿Te fue útil?

Funcionamiento de la Delegación No Restringida:

Autenticación Inicial: Un usuario se autentica ante un servidor que tiene habilitada la delegación no restringida. Durante este proceso, el Ticket Granting Ticket (TGT) del usuario se almacena en la memoria del servidor.

Acceso a Otros Servicios: El servidor ahora puede usar ese TGT para solicitar tickets de acceso a otros servicios (service tickets) en nombre del usuario, sin ninguna restricción específica.

Potencial de Movimiento Lateral: Este servidor podría acceder a cualquier otro servicio dentro del mismo dominio (o en algunos casos, incluso en dominios de confianza) como si fuera el usuario, lo que puede permitir a un atacante moverse lateralmente en la red.

Riesgos de Seguridad:

La delegación no restringida presenta riesgos significativos:

Exposición de TGTs: Los TGTs de los usuarios pueden ser robados por atacantes que comprometen el servidor, lo que permite al atacante solicitar tickets de servicio para cualquier servicio como si fueran el usuario comprometido.

Movimiento Lateral: Un atacante puede utilizar los TGTs capturados para moverse lateralmente a través de la red y acceder a otros servicios y datos.

Escalada de Privilegios: Si el TGT pertenece a un usuario con altos privilegios, como un administrador de dominio, el atacante puede obtener un control significativo sobre la red.