LAPS Local Administrator Password Solution
Uno de los problemas con lo que se enfrenta todo administrator en una infraestructura es el manejo de credenciales para los distintos dispositivos de la red, credenciales de acceso para servidores, para la administración de router, firewall y switches, soluciones como servidores de autenticación remotos o Single Sign On, ayudan a la solución de esto, pero hoy quiero hablarle de la solución de Microsoft para el re-uso de credenciales por partes de los administradores, en el manejo de Window Server y usuarios del dominio.
Antes de LAPS una práctica común entre administradores era o es 🤌 utilizar la misma contraseña en cada computadora, con el objetivo de poder acceder en caso de que algún evento lo impidiera. Esto trae como resultado que el comprometer una máquina cliente, se pudiera obtener el hash del RID 500 y loguearnos con el, en cualquier computadora del dominio a través de la cuenta local del administrador.
Brute Forcing SID 500 in Active Directory Mark Mo
¿Cómo funciona?
Se instala un componente en cada computadora el cual genera cada cierto tiempo de manera aleatoria contraseñas que son guardadas automáticamente en el Directorio Activo, adjuntadas como atributos de la computadora en cuestión y que solo el administrador puede ver el valor de este atributo, pero que si tienes los permisos es fácil de leer utilizando el cmdlet de PowerShell Get-AdmPwdPassword.
La configuración de LAPS en el dominio trae consigo la cuestión de a quien se le debería otorgar permisos para poder leer las contraseñas de LAPS, y que podrían terminar siendo otorgados a usuarios fuera del grupo de admins del dominio, como grupo de helpdesk.
Que es justo lo que sucede en la máquina Timelapse de HTB… una vez sea retirada traemos el WriteUp. 👏
Para la instalación de LAPS en un ámbito local recomiendo el siguiente How-to de Recast software
🖱️by: @DaVinciRoot