[2], allowing inter-operable account migration between domains (e.g., all values in SID-History are included in access tokens).With Domain Administrator (or equivalent) rights, harvested or well-known SID values may be inserted into SID-History to enable impersonation of arbitrary users/groups such as Enterprise Administrators. This manipulation may result in elevated access to local resources and/or access to otherwise inaccessible domains via lateral movement techniques such as Remote ServicesSMB/Windows Admin Shares, or Windows Remote Management."> 访问令牌操作:SID-History注入|站得住脚的® -
检测
分析

访问令牌操作:SID-History注入

描述

对手可能使用SID-History注入升级特权和绕过访问控制。Windows安全标识符(SID)是一个独特的价值,识别用户和组帐户。SIDs使用Windows安全安全描述符和访问令牌。一个帐户可以容纳额外的SIDs SID-History Active Directory属性[2],允许内部可操作账户迁移域之间(例如,SID-History中所有的值都包含在访问令牌)。域管理员(或同等)权利、收获或著名的SID值可以插入SID-History启用模拟任意用户/组,如企业管理员。这个操作可能会导致高访问本地资源和/或访问通过横向运动技术,如难以进入的领域远程服务,SMB / Windows管理股票,或Windows远程管理

产品、传感器和依赖关系

产品 依赖关系 数据源 访问所需的 协议 收集的数据 笔记
Tenable.ad 活动目录 用户身份验证的广告 LDAP 与SID-History域用户列表

攻击路径技术细节

框架:主教法冠ATT&CK

家庭:国防逃税,特权升级

Sub-Technique:SID-History注入

平台:窗户

产品要求:Tenable.ad

站得住脚的发布日期:2022年第二季度

Baidu
map