暗黙的な乗っ取り

説明

ソースは Tier0 セキュリティプリンシパルです。Tier0 とは、ドメインで最高の権限を持つ Active Directory オブジェクトのセットです。ドメイン管理者グループやドメインコントローラーグループのメンバーがこれにあたります。すべての Tier0 資産は、明示的な他の関係がない場合でも、ドメイン内の他のオブジェクトを暗黙的に侵害する可能性があります。

この関係により、Active Directory に組み込まれた暗黙的な権限のモデル化が可能になります。これらの権限は設計によるものであり、文書化されているため、攻撃者に知られています。ただし、 Tenable Identity Exposure は標準的な手段でこれらの権限を収集することはできません。さらに、攻撃者が Tier0 ノードを侵害するとすぐに、他の明示的な関係を介さずに他のオブジェクトを直接攻撃できるため、攻撃経路グラフはシンプルになります。

つまり、ソース Tier0 資産はすべて、グラフ内の任意のターゲットノードに対して「暗黙的な乗っ取り」関係があると見なされます。

悪用

実際の悪用方法は、標的にされるソース Tier0 資産のタイプによって異なりますが、これらの手法は十分に文書化され、攻撃者が効率的に習得できるようになっています。

修正方法

この関係は設計によるものであり、修正できません。Tier0 資産に到達した攻撃者を阻止して、さらなる攻撃を行えないようにすることはほぼ不可能です。

攻撃経路の上流の関係を重点的に修正するようにします。

関連項目

• キー認証情報の追加

• メンバーの追加

• 操作が許可されている

• 委任が許可されている

• GPO に属している

• DCSync

• 操作の許可を付与できる

• SID 履歴あり

• GPO を継承

• リンクされている GPO

• グループのメンバー

• 所有

• パスワードのリセット

• RODC 管理

• DACL の書き込み

• 所有者の書き込み