Rubeus

<p>Vérifie qu'aucune délégation Kerberos dangereuse (non contrainte, transition de protocole, etc.) n'est autorisée, et que les utilisateurs privilégiés sont protégés contre ces délégations.</p>


<p>Le protocole Kerberos sur lequel repose la sécurité de l'Active Directory, autorise certains serveurs à réutiliser les informations d'authentification des utilisateurs. Si l'un de ces serveurs est compromis, un attaquant peut s'authentifier sur d'autres ressources après avoir dérobé les informations d'authentification.</p>


Persistance

Élévation de privilèges

Délégation Kerberos dangereuse

Les comptes privilégiés doivent être protégés, sans quoi un attaquant pourrait être en mesure de récupérer leurs identifiants de connexion.

Non protégé contre la délégation

Un attaquant pourrait utiliser cette mauvaise configuration afin de se faire passer pour un autre utilisateur.

Délégation non contrainte

Un attaquant pourrait voler des tickets Kerberos afin de s'authentifier sur d'autres ressources.

Un attaquant pourrait voler des tickets Kerberos de comptes administrateurs afin de s'authentifier sur des ressources privilégiées.

Délégation Kerberos sur un objet sensible

L'objet a une ACE dangereuse autorisant un utilisateur à écrire dans l'attribut `msDS-AllowedToActOnBehalfOfOtherIdentity` ou dans le property set `Account Restrictions`. Un attaquant pourrait se servir de cette mauvaise configuration afin d'usurper l'identité d'un utilisateur sur ce service.

Contrôle RBCD autorisé

Un principal de sécurité a été défini dans l'attribut `msDS-AllowedToActOnBehalfOfOtherIdentity` (Role-Based Constrained Delegation, RBCD) d'un compte de service privilégié. Cette porte dérobée pourrait être utilisée par un attaquant pour impersonifier un compte arbitraire et maintenir un accès privilégié aux services s'exécutant dans le contexte du compte de service.

Détections

Délégation Kerberos dangereuse

critical

Description

Solution

Voir aussi

Détails de l'indicateur

Outils connus des attaquants