In ambienti Active Directory (AD) le GPO (Group Policy Object) sono semafori e cartelli stradali della tua “città IT”.
Orchestrano impostazioni e comportamenti dei pc aziendali: quando riavviarsi, quali programmi sono ammessi, quali regole si applicano ogni giorno. Se un attaccante riuscisse a modificare questo “sistema di informazioni stradali” potrebbe “deviare il traffico” dove vuole.
SharpGPOAbuse, è uno strumento (C#/.NET) che sfrutta diritti già esistenti su una GPO, per propagare rapidamente cambi di configurazione ai sistemi governati da quella policy. Operativamente: scrive/aggiorna i file della GPO in SYSVOL e sincronizza gli attributi dell’oggetto GPO (gPC*ExtensionNames, versionNumber) oltre al valore di GPT.ini.
I PC interessati applicheranno la nuova configurazione al ciclo di refresh successivo. In alternativa, si può forzare l’aggiornamento con gpupdate /force sul sistema target (o con strumenti di amministrazione remota).
Supponiamo che l’attaccante abbia una shell sulla macchina ed il controllo dell’account “m.anderson”, che gode dei permessi per creare/modificare GPO e di WriteGPLink sul OU (Organizational Unit) Domain Controller. A questo punto potrebbe:
- Creare una nuova GPO da PowerShell:
New-GPO -Name “GPO-hack” | New-GPLink -Target “OU=DOMAIN CONTROLLERS,DC=HACK,DC=HTB” -LinkEnabled Yes - Usare SharpGPOAbuse per aggiungere l’utente agli Administrators (built-in) del DC (Domain Controller):
.SharpGPOAbuse.exe –AddLocalAdmin –UserAccount m.anderson –GPOName GPO-hack –force - Opzionale: forzare l’update delle Policy tramite:
gpupdate /force
Risultato: al successivo aggiornamento delle policy, “m.anderson” verrà aggiunto agli Administrators (builtin) del DC.
