Não confie em ninguém: as trusts unidirecionais são realmente unidirecionais?

As trusts unidirecionais de florestas Active Directory são amplamente consideradas como impondo um modelo de acesso estrito e unidirecional. No entanto, senhas de trust armazenadas silenciosamente comprometem essa fronteira. Ao extrair o segredo do objeto de domínio confiável (TDO) da floresta confiante, atacantes com direitos de Domain Admin podem derivar chaves Kerberos para a TRUST_ACCOUNT na floresta confiável e fazer login como um usuário de domínio válido. A nova ferramenta tdo_dump.py automatiza a extração remota e a derivação de chaves via chamadas de replicação DRS, possibilitando LDAP recon, criação de contas de computador e Kerberoasting através do que deveria ser uma barreira de segurança unidirecional. Para equipes de segurança, designs de 'floresta de administração' unidirecionais não garantem mais a direcionalidade. O hardening deve assumir que o comprometimento de uma floresta dependente pode dar um ponto de apoio de volta para a floresta de gerenciamento.