Implizite Übernahme

Beschreibung

Die Quelle ist ein Tier0-Sicherheitsprinzipal. Tier0 ist die Gruppe der Active Directory-Objekte, die die höchsten Berechtigungen in der Domäne haben, wie z. B. die Mitglieder der Gruppe der Domänenadministratoren oder Domänencontroller. Alle Tier0-Assets können implizit jedes andere Objekt in der Domäne kompromittieren, auch wenn es keine explizite andere Beziehung gibt.

Diese Beziehung ermöglicht die Modellierung impliziter, in Active Directory integrierter Rechte. Diese Rechte sind von vornherein festgelegt und dokumentiert und somit Angreifern bekannt. Tenable Identity Exposure kann diese Rechte jedoch nicht mit den üblichen Mitteln einfordern. Außerdem vereinfacht diese Beziehung die Angriffspfad-Diagramme, denn sobald Angreifer einen Tier0-Knoten kompromittieren, können sie jedes andere Objekt direkt angreifen, ohne andere explizite Beziehungen zu durchlaufen.

Zusammenfassend wird davon ausgegangen, dass alle Tier0-Assets der Quelle „Implizite Übernahme”-Beziehungen zu jedem Zielknoten im Diagramm haben.

Ausnutzung

Die genaue Ausnutzungsmethode hängt von der Art des anvisierten Tier0-Assets der Quelle ab, aber es handelt sich um gut dokumentierte Techniken, die Angreifer effizient beherrschen.

Behebung

Diese Beziehung ist gewollt und kann nicht behoben werden. Es ist fast unmöglich, einen Angreifer, der ein Tier0-Asset erreicht hat, an weiteren Angriffen zu hindern.

Die Behebung der Probleme muss sich auf die vorgelagerten Beziehungen in den Angriffspfaden konzentrieren.

Siehe auch

• Schlüssel-Anmeldeinformation hinzufügen

• Mitglied hinzufügen

• Agieren zulässig

• Delegieren zulässig

• Gehört zu GPO

• DCSync

• „Agieren zulässig” gewähren

• Hat SID-Verlauf

• GPO erben

• Verknüpftes GPO

• Mitglied von

• Besitzt

• Passwort zurücksetzen

• RODC-Verwaltung

• DACL schreiben

• Besitzer schreiben