Sites do Active Directory são projetados para otimizar o desempenho de redes em organizações distribuídas, gerenciando autenticação e replicação entre diferentes localidades. Pesquisadores da Synacktiv demonstraram que essas ferramentas de gestão podem ser utilizadas como vetor para ataques sofisticados em ambientes corporativos.
Sites do Active Directory e GPOs viram alvo para escalada de privilégios
UM vulnerabilidade surge porque sites do Active Directory podem ser associados a Objetos de Política de Grupo (GPOs), responsáveis por configurar sistemas em toda a empresa. Caso um avanço obtenha permissão de escrita sobre os sites ou seus GPOs garantidos, você pode inserir configurações maliciosas capazes de comprometer todos os computadores conectados ao site, incluindo drivers de domínio.
Como ocorre o aumento de privilégios
Os invasores exploram as permissões GenericAll, GenericWrite e WriteGPLink em objetos do site. Muitas vezes, os administradores delegam estes acessos sem compreender o risco. Após controlar essas permissões, o atacante pode modificar GPOs existentes ou criar políticas maliciosas que executam comandos arbitrários em sistemas conectados.
Tais comandos adicionam contas controladas pelo invasor aos grupos de administradores, concedendo privilégios de domínio em poucos minutos. O cenário ainda é mais grave porque o Active Directory permite movimentação lateral pelos sites, afetando todo o ambiente florestal.
Risco de comprometer múltiplos domínios e contornar proteções tradicionais
A seção de configuração que contém informações dos sites replicados por toda a floresta, permitindo que um domínio controlado seja usado para alterar configurações de sites em outros domínios. Este método contorna mecanismos de proteção como filtragem SID, normalmente usado para restringir ataques entre domínios.
Os pesquisadores descobriram que é possível que um invasor de domínio de um filho comprometa o domínio raiz da floresta ao vincular GPOs maliciosos a sites que hospedam drivers de domínio principal. Esse vetor representa uma lacuna crítica nas estratégias de defesa de muitas organizações e exige atenção imediata das equipes de grandes ambientes do Active Directory.
