Saltar al contenido principal

Resource-Based Constrained Delegation (RBCD)

Si controlas un computer object con msDS-AllowedToActOnBehalfOfOtherIdentity modificable, escribes el SID del atacante en ese atributo y suplantas a cualquier usuario contra el computer.

Categoría: Active Directory · Vectores avanzados 🎯 Trinchera — Si controlas un computer object con msDS-AllowedToActOnBehalfOfOtherIdentity modificable, escribes el SID del atacante en ese atributo y suplantas a cualquier usuario contra el computer. 🔗 Kill chain — Requisito: GenericWrite sobre el computer object (común en operadores con quotas). Movimiento siguiente: añadir machine account propia → modificar atributo → S4U → admin. 📡 Huella defensiva — Cambio del atributo msDS-AllowedToActOnBehalfOfOtherIdentity (Event ID 5136). Creación de machine account por usuario raso (Event ID 4741). ⚠️ Falso amigo — Necesitas SPN en la machine account atacante; sin SPN el flujo S4U falla silenciosamente. 🛡️ RemediaciónMachineAccountQuota = 0 en la GPO del dominio; auditar Write* sobre computers críticos; Protected Users group.

Volver al glosario completo Última actualización: 2026-06-11