Небезопасные права доступа ACL.

ACL (списки контроля доступа) - это набор правил, которые определяют, какие объекты имеют разрешения для иного объекта в среде Active Directory. Такими объектами могут быть учетные записи пользователей, группы, учетные записи компьютеров, сам домен и многое другое.

ACL может быть настроен для отдельного объекта, такого как учетная запись пользователя, но также его можно настроить и для OU. Основное преимущество настройки ACL в OU состоит в том, что при правильной настройке все обьекты-потомки будут наследовать ACL. ACL OU, в котором находятся объекты, содержит элемент управления доступом (Access Control Entry, ACE). Он определяет идентификатор и соответствующие разрешения, применяющиеся к OU или нисходящим объектам. Каждый АСЕ включает в себя SID и маску доступа, причем АСЕ могут быть четырех типов: «доступ разрешен», «доступ отклонен», «разрешенный обьект» и «запрещенный обьект».

Рассмотрим пример атаки, использующей неправильную настройку ACL. Предположим, мы уже собрали исходную информацию с помощью BloodHound, поэтому сразу перейдем к стадии повышения привилегий.

Предположим пользователь с относительно низкими привилегиями член группы безопасности (MemberOf). Эта группа имеет полный контроль (GenericAIl) над вторым пользователем. Так как ACL наследуется, то первый пользователь тоже имеет такой контроль.

GenericAll означает полный контроль над объектом, включая возможность добавлять других участников в группу, изменять пароль пользователя, не зная текущего, регистрировать SPN. Эксплуатируется эта возможность с помощью Set-DomainUserPassword или Add-DomainGroupMember.

Рассмотрим другой случай, если первый пользователь член группы безопасности (MemberOf), а эта группа имеет (ForceChangePassword) контроль над вторым пользователем, то у нас есть возможность изменить пароль второго пользователя, не зная его текущий пароль. Эксплуатируется с помощью Set-DomainUserPassword.

BloodHound и Invoke-ACLpwn – это мощные инструменты, которые оказывают незаменимую помощь в эксплуатации ошибок конфигурации в списках контроля доступа (ACL) в Active Directory. Эти инструменты активно используются как в тестировании на проникновение, так и в реальных атаках.

BloodHound анализирует структуру прав и отношений между объектами в Active Directory и выводит граф, на котором отображены возможные пути повышения привилегий.

Invoke-ACLpwn – это PowerShell скрипт, который используется для автоматического эксплуатации неправильно настроенных ACL. После того, как BloodHound выявляет слабые места в ACL, Invoke-ACLpwn может автоматически изменить ACL для получения доступа к нужным объектам. Скрипт устраняет необходимость в ручной эксплуатации, делая процесс более быстрым и менее подверженным ошибкам.