Изменение политики домена или арендатора

Злоумышленники могут изменять параметры конфигурации домена или арендатора идентификации для уклонения от защиты и/или повышения привилегий в централизованно управляемых средах. Такие службы обеспечивают централизованные средства управления ресурсами идентификации, такими как устройства и учетные записи, и часто включают параметры конфигурации, которые могут применяться между доменами или арендаторами, такие как доверительные отношения, синхронизация идентификации или федерация идентификации. Изменения настроек домена или арендатора могут включать изменение объектов групповой политики (GPO) домена в Microsoft Active Directory (AD) или изменение настроек доверия для доменов, включая отношения федеративного доверия между доменами или арендаторами. При наличии достаточных разрешений злоумышленники могут изменять параметры политики домена или арендатора. Поскольку параметры конфигурации для этих служб применяются к большому количеству ресурсов идентификации, существует огромное количество потенциальных атак и вредоносных результатов, которые могут вытекать из этого злоупотребления. Примеры такого злоупотребления включают: * изменение GPO для распространения вредоносной Запланированной задачи на компьютеры во всей среде домена * изменение доверительных отношений домена для включения контролируемого злоумышленником домена, позволяя злоумышленникам подделывать токены доступа, которые впоследствии будут приняты ресурсами домена жертвы * изменение параметров конфигурации в среде AD для реализации Поддельного контроллера домена. * добавление новых контролируемых злоумышленником федеративных поставщиков идентификации к арендаторам идентификации, позволяя злоумышленникам проходить аутентификацию как любой пользователь, управляемый арендатором жертвы Злоумышленники могут временно изменить политику домена или арендатора, выполнить вредоносное действие (действия), а затем вернуть изменение для удаления подозрительных индикаторов.