¿Qué es DCSync?
DCSync es una técnica que se utiliza para pedir las claves de cualquier usuario a un controlador del dominio a través del protocolo de replicación (DRSUAPI). Para ello es necesario disponer de los permisos DS-Replication-Get-Changes-All y DS-Replication-Get-Changes sobre el objeto del dominio, por lo que esta técnica se suele utilizar una vez ya se ha logrado elevar privilegios en el Directorio Activo.
Uno de los usos más habituales de este ataque es la obtención de las claves de la cuenta KRBTGT para el forjado de Golden Tickets, lo que sirve como mecanismo de persistencia a nivel de privilegios de usuario.
De forma normal, este tipo de operaciones de sincronización solo se realizan entre un conjunto pequeño de sistemas (controladores de dominio principalmente), por lo que una de las formas más habituales de detectarlo es analizando el origen de la conexión.
Artículos de ciberseguridad relacionados con DCSync
A continuación algunos de los artículos técnicos sobre ciberseguridad que se han publicado en la web de Tarlogic y que están relacionados con DCSync.
- Kerberos (I): ¿Cómo funciona Kerberos? – Teoría
- Kerberos (II): ¿Como atacar Kerberos?
- Kerberos (III): ¿Cómo funciona la delegación?
- Exploit N-day: Kerberos EoP en entornos Linux
- Tickets de Kerberos: Comprensión y explotación