Los investigadores de seguridad y los probadores de intrusos tienen una nueva herramienta poderosa en su arsenal con el reciente desarrollo del cable, un conjunto de herramientas de post-explotación avanzado diseñado específicamente para el entorno de Active Directory.
Creado por el desarrollador Logan Goins, esta utilidad basada en .NET proporciona una funcionalidad integral para el reconocimiento y la explotación de vulnerabilidades de listas de control de acceso discrecional (DACLS) dentro de las redes empresariales.
Los cables actúan como una herramienta de línea de comandos modular que permite a los expertos en seguridad evaluar a fondo las actitudes de seguridad de Active Directory después de que se logre el acceso inicial.
Tan visto como ayer, el conjunto de herramientas se centra en identificar y explotar vulnerabilidades basadas en permisos que permiten a los atacantes aumentar los privilegios y mantener la persistencia dentro de la red comprometida.
La sintaxis del comando primario sigue una estructura simple.
Aquí, el módulo incluye características especiales para varios aspectos de la evaluación de Active Directory.
Módulos y funciones clave
La arquitectura de cable se divide en nueve módulos de núcleo dirigidos a un vector de ataque de Active Directory específico.
LDAP: realiza una enumeración integral de objetos de Active Directory que contienen usuarios, computadoras, grupos y cuentas de servicio, incluidos usuarios, computadoras, grupos y filtros de búsqueda configurables DCLIST: identifica todos los controladores de dominio en el RBCD de dominio actual. Fideicomiso: Dominio del mapa y relación Forest Trust CA: Descubra Servicios de Certificado de Active Directory (ADC) Plantillas de autoridad de certificado: Evaluar plantillas de certificado potencialmente vulnerables Usuario: Realice operaciones de cuenta de usuario.
Implementación técnica
Los investigadores de seguridad pueden usar comandos como: cables para el reconocimiento objetivo.
Esto identifica las cuentas configuradas sin el requisito de preautenticación para Kerberos.
Para las operaciones DACL, el kit de herramientas proporciona un control preciso.
Este comando demuestra la funcionalidad de una herramienta que otorga control total a una cuenta dada y aprovecha el control de acceso incorrecto.
Según la documentación del proyecto, el cable fue “creado principalmente para aprender más sobre el desarrollo de Attack .NET, principalmente en un contexto de Active Directory”.
Los desarrolladores señalan que la herramienta es tanto un proyecto de aprendizaje como una forma de expandir el conocimiento de “Seguridad de ataque con un enfoque de activo directorio”.
Este kit de herramientas se publica bajo una licencia GPL-3.0 y se pone a disposición de los profesionales de la seguridad para su uso en pruebas de penetración aprobadas y actividades de evaluación de seguridad.
Los cables proporcionan características valiosas para las pruebas de seguridad legítimas, pero su funcionalidad subraya la importancia de proteger adecuadamente su entorno de activo.
Las organizaciones deben auditar regularmente los permisos de Active Directory, implementar el principio de menor privilegio y monitorear los cambios de DACL no autorizados.
Las actualizaciones recientes de la herramienta incluyen mejoras en las capacidades de visualización de la fuente de las cuentas informáticas, lo que indica el desarrollo continuo y las mejoras de esa funcionalidad.
Para los equipos de seguridad que realizan evaluaciones autorizadas, Cable representa una adición significativa al Kit de herramientas de prueba de Active Directory, que ofrece un conjunto integral de módulos de reconocimiento y explotación en un marco único y bien documentado.
La seguridad de la aplicación ya no es un juego defensivo, es tiempo seguro -> Seminario web gratuito
