Escalada de privilégios via Active Directory

Sites do Active Directory são projetados para otimizar a performance de redes em organizações distribuídas, gerenciando autenticação e replicação entre diferentes localidades. Pesquisadores da Synacktiv demonstraram que essas ferramentas de gestão podem ser utilizadas como vetor para ataques sofisticados em ambientes corporativos.

Sites do Active Directory e GPOs viram alvo para escalonamento de privilégios

A vulnerabilidade surge porque sites do Active Directory podem ser associados a Group Policy Objects (GPOs), responsáveis por configurar sistemas em toda a empresa. Caso um atacante obtenha permissão de escrita sobre os sites ou seus GPOs vinculados, pode injetar configurações maliciosas capazes de comprometer todos os computadores conectados ao site, incluindo controladores de domínio.

Como ocorre o escalonamento de privilégios

Os invasores exploram permissões GenericAll, GenericWrite e WriteGPLink em objetos de site. Muitas vezes, administradores delegam estes acessos sem compreender o risco. Após controlar essas permissões, o atacante pode modificar GPOs existentes ou criar políticas maliciosas que executam comandos arbitrários nos sistemas conectados.

Tais comandos podem adicionar contas controladas pelo invasor aos grupos de administradores, concedendo privilégios de domínio em poucos minutos. O cenário é ainda mais grave porque o Active Directory permite movimentação lateral pelos sites, afetando todo o ambiente forest.

Risco de comprometer múltiplos domínios e contornar proteções tradicionais

A partição de configuração que contém informações dos sites replica-se por toda a floresta, permitindo que um domínio controlado seja usado para alterar configurações de sites em outros domínios. Este método contorna mecanismos de proteção como SID filtering, normalmente usados para restringir ataques cross-domain.

Os pesquisadores demonstraram que é possível para um invasor de um domínio filho comprometer o domínio raiz da floresta ao vincular GPOs maliciosos aos sites que hospedam controladores do domínio principal. Esse vetor representa uma lacuna crítica nas estratégias de defesa de muitas organizações e demanda atenção imediata das equipes responsáveis por grandes ambientes de Active Directory.