elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Uso malicioso de Microsoft LAPS		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Uso malicioso de Microsoft LAPS  (Leído 2,197 veces)
r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
Uso malicioso de Microsoft LAPS
« en: 3 Enero 2019, 20:08 pm »
Descripción general de LAPS:
LAPS (Local Administrator Password Solution) es una herramienta para administrar contraseñas de administrador local para computadoras unidas a dominios. Almacena contraseñas / secretos en un atributo confidencial en el objeto de directorio activo correspondiente de la computadora. LAPS elimina el riesgo de movimiento lateral al generar contraseñas aleatorias de los administradores locales. La solución LAPS es una extensión del lado de la directiva de grupo (CSE) que se instala en todas las máquinas administradas para realizar todas las tareas de administración.

Los administradores de dominio y cualquier persona que tenga control total sobre los objetos de computadora en AD pueden leer y escribir ambas piezas de información (es decir, contraseña y fecha y hora de caducidad). La contraseña almacenada en AD está protegida por ACL, le corresponde a los administradores de sistemas definir quién puede y quién no puede leer los atributos. Cuando se transfiere a través de la red, tanto la contraseña como la marca de tiempo están cifradas por kerberos y cuando se almacenan en AD, tanto la contraseña como la marca de tiempo se almacenan en texto claro.

Componentes de LAPS:
Agente - Extensión de cliente de directiva de grupo (CSE)
Registro de eventos y generación de contraseñas aleatorias
Módulo PowerShell
Configuración de la solución
Directorio Activo
Objeto informático, atributo confidencial, registro de auditoría en el registro de seguridad del controlador de dominio

En primer lugar, identificaremos si se ha instalado la solución LAPS en la máquina en la que nos hemos posicionado. Aprovecharemos el cmdlet de powershell para identificar si existe el admpwd.dll o no.

Código:
Get-ChildItem ‘c:\program files\LAPS\CSE\Admpwd.dll’

El siguiente paso sería identificar quién tiene acceso de lectura a ms-Mcs-AdmPwd. podemos usar Powerview para identificar a los usuarios que tienen acceso de lectura a ms-Mcs-AdmPwdt.

Código:
Get-NetOU -FullData | Get-ObjectAcl -ResolveGUIDs |
Where-Object {
($_.ObjectType -like 'ms-Mcs-AdmPwd') -and
($_.ActiveDirectoryRights -match 'ReadProperty')
}



Si RSAT (Remote Server Administration Tools) está habilitado en la máquina víctima, existe una forma interesante de identificar que el usuario tiene acceso a ms-Mcs-AdmPwd. Simplemente podemos disparar el comando:

Código:
dsacls.exe 'Path to the AD DS Object'



Más información: https://akijosberryblog.wordpress.com/2019/01/01/malicious-use-of-microsoft-laps/

Saludos.
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sito malicioso en el foro
Sugerencias y dudas sobre el Foro 		pazienzia 3 3,010 Último mensaje 6 Mayo 2010, 10:37 am
por pazienzia
Microsoft se pone duro con el adware: a partir de ahora, malicioso por defecto
Noticias 		wolfbcn 0 1,623 Último mensaje 7 Abril 2014, 14:31 pm
por wolfbcn
Microsoft lanza campaña contra software malicioso conocido como Bladabindi ...
Noticias 		wolfbcn 0 1,522 Último mensaje 2 Julio 2014, 17:55 pm
por wolfbcn
El 94% del tráfico web de Tor es malicioso
Noticias 		wolfbcn 0 1,059 Último mensaje 1 Abril 2016, 02:32 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines