Estimados amigos de Inseguros !!!
Los que me conocen lo saben, soy un profundo defensor de conocer en profunidad aquello que manejas, en el tema laboral, los sistemas, en mi caso Microsoft.
Conocer los ataques y las defensas, las monitorización, la detección, la contención, es una pieza más del complejo puzzle que es la administración la sistemas. En grandes organizaciones esto puede ser tarea del depto. de Ciber, o más en detalle del BlueTeam, pero en la inmensa mayoría de organizaciones es cuestión del DEPTO. Informática...
En esta ocasión os traigo una pequeña referencia, pero que aporta más como reflexión que como técnica concreta, y es un exploit para elevar de Backup Admin a Domain Admin en un click.
El permiso SeBackupPrivilege es algo viejo y muy conocido en el mundo del pentester, y se usa, pero no te preocupes del pentester !!! preocúpate del ransomware que lo va a utilizar una vez entre en tu red...
Hace tiempo que Impacket nos ofrece esta posibilidad, con el simple dump de la SAM, SYSTEM y SECURITY del registro, a una ubicación...
Lo bueno de este exploit, es que no usa WINRM ni nada por el estilo, solo se conecta de manera remota a la clave del registro...
Y digo yo, si sabemos cómo funciona, podemos hacer dos cosas, por qué no prescindir, en la manera de lo posible, de este grupo y permiso? por qué no monitorizar los logins de estas cuentas? y lo que más aportaría, de verdad necesitamos acceso remoto al registro?
Computer Configuration > Policies > Windows Settings > Security Settings > System Services
Podemos cambiar su inicio a manual y listo, ya no permitimos ni a a los buenos ni a los malos trabajar con registro remoto.
Por supuesto, que añadiría una monitorización a esta rama del registro, donde se guarda la SAM... que creo que es algo importante. Vimos como hacerlo hace un tiempo aquí.
Al final, como he empezado diciendo, no se trata tanto de este pequeño recurso, sino de que comprendamos que es importante conocer estos vectores de ataque y como gestionarlos.