Active Directory - Fase 2: Exploração
Objetivo
Validar elevação de privilégio em AD por abuso de configuração, ACL, Kerberos/NTLM, delegação, contas de serviço e ADCS, com PoC mínima e impacto mensurável.
Checklist Operacional
- Confirmar pré-condição técnica do vetor em objeto AD específico.
- Priorizar ACL explorável, delegação indevida, SPN/conta de serviço e template ADCS fraco.
- Executar técnica com menor ruído e máxima rastreabilidade.
- Comprovar ganho de privilégio/controle sobre objeto crítico sem alterar mais do que o necessário.
- Mapear consequência direta para contas, GPOs, DCs e ativos Tier-0.
Comandos e Fluxos de Exploração
terminal
# Contexto de tickets e identidade
whoami
klist
# Enumerar ACLs e objetos críticos (PowerShell AD)
Get-ADOrganizationalUnit -Filter * | Select-Object -First 20
Get-ADGroup -Filter * -Properties ManagedBy | Select-Object -First 20
# Exemplo de validação de membership privilegiado
net group "Domain Admins" /domain
# Consulta LDAP para atributos sensíveis (somente escopo autorizado)
Get-ADUser -Filter * -Properties servicePrincipalName,adminCount,lastLogonDate | Select-Object -First 30
Get-ADObject -LDAPFilter "(adminCount=1)" -Properties nTSecurityDescriptor
# ADCS quando existir no ambiente
certutil -config - -ping
certipy find -u USUARIO@DOMINIO.LOCAL -p SENHA -dc-ip DC_IP -vulnerableBypass e Abusos Comuns
- Delegação excessiva em OUs, grupos administrativos e objetos com caminho até Tier-0.
- ACL permissiva em objetos críticos permitindo alteração indireta de privilégio.
- Governança fraca de contas de serviço, SPNs sensíveis e senhas sem rotação.
- Templates ADCS com enrolamento indevido, autenticação fraca ou controle excessivo.
- Mudanças em GPO sem trilha de aprovação e monitoramento efetivo.
Mapeamento ATT&CK
- TA0004 Privilege Escalation: abuso de permissão que amplia controle no domínio.
- T1558.003 Kerberoasting: abuso de SPN e conta de serviço quando a pré-condição for válida.
- T1558.004 AS-REP Roasting: contas sem pré-autenticação Kerberos quando exploráveis.
- T1484.001 Group Policy Modification: GPO controlável por ACL ou delegação indevida.
- T1003.006 DCSync: replicação abusiva quando a conta possui direitos suficientes.
Validação e Evidência
- Registrar estado antes/depois do objeto AD explorado, incluindo atributo, ACL ou template afetado.
- Vincular técnica ao controle específico ausente (ACL, delegação, política).
- Mensurar impacto em confidencialidade, integridade e disponibilidade operacional.
- Documentar cleanup e reteste para garantir que membership, ACL, ticket ou certificado não permaneceu válido indevidamente.
Mitigação e Detecção
- Endurecer ACL e delegação em objetos administrativos críticos.
- Restringir contas de serviço, revisar SPNs e aplicar rotação com política de ciclo de vida.
- Revisar templates ADCS e permissões de enrollment, issuance e manager approval.
- Auditar alterações de grupos privilegiados, ACLs, GPOs, certificados e atributos sensíveis em tempo quase real.
Referências Práticas
- SpecterOps - Certified Pre-Owned: pesquisa essencial para ADCS, ESC paths, persistência e domain escalation por certificados.
- Certify Documentation: referência operacional para assessment de ADCS.
- harmj0y - Kerberoasting Revisited: base técnica para Kerberoasting e uso de Rubeus/Impacket em cenários reais.
- HackTricks - Active Directory Methodology: metodologia ampla para ACL abuse, RBCD, LAPS, certificate abuse e persistência.
- ired.team - Privileged Accounts and Token Privileges: referência prática para grupos e privilégios menos óbvios em AD.