CEVIU Logo
Voltar

Não confie em ninguém: as trusts unidirecionais são realmente unidirecionais?

Aprofundamento CEVIU

Aprofundamento

A confiança unidirecional no Active Directory nunca foi realmente 'unidirecional' em termos de segurança operacional. O que a Microsoft documenta como um fluxo de autenticação restrito é contornável com acesso de Domain Admin na floresta confiante: basta extrair o segredo do Trusted Domain Object (TDO) via chamadas DRS e derivar as chaves Kerberos da conta TRUST_ACCOUNT. A ferramenta tdo_dump.py não é só uma prova de conceito, ela opera remotamente, sem necessidade de execução local ou de credenciais adicionais, e já permite reconhecimento LDAP, criação de contas de computador e Kerberoasting contra a floresta confiável. Isso invalida por completo o modelo de 'floresta de administração' isolada, onde se supunha que comprometer a floresta dependente não daria acesso à infraestrutura de gerenciamento.

O risco se agrava com vulnerabilidades recentes confirmadas pela Microsoft: CVE-2026-47288 (falha crítica no KDC que permite escalonamento de privilégios via Kerberos) e CVE-2026-25177 (escalonamento sem interação do usuário que manipula relações de confiança). Ambas foram corrigidas no Patch Tuesday de junho de 2026, mas exigem atualização imediata, especialmente porque, mesmo com permissões limitadas, atacantes conseguem explorar lacunas na replicação DRS e na delegação de Kerberos para contornar barreiras lógicas de design.

Por que isso importa

Equipes de segurança que ainda confiam em trusts unidirecionais como barreira de contenção estão operando sob falsa premissa técnica. Um único domínio comprometido com privilégios de Domain Admin pode ser usado como trampolim para acessar a floresta de administração, incluindo contas de serviço, gMSAs mal configuradas e até controladores de domínio com permissões de replicação abertas. Isso torna obsoletas políticas de segmentação baseadas apenas em direcionalidade de trust, exigindo substituição por filtragem de SID rigorosa, restrição de permissões DRS (Replicar Alterações de Diretório), desativação de delegação não restrita e auditoria contínua de objetos TDO e SPNs.

Perguntas frequentes

A tdo_dump.py exige acesso físico ou shell no controlador de domínio?

Não. A ferramenta explora chamadas de replicação DRS remotas, acessíveis via RPC sobre TCP/389 ou 636 (LDAP/LDAPS), desde que o atacante tenha credenciais de Domain Admin na floresta confiante. Não há necessidade de execução local nem de acesso à memória do DC.

Como diferenciar uma trust unidirecional segura de uma vulnerável?

Nenhuma trust unidirecional é segura por padrão. O risco depende de três fatores: permissões DRS concedidas a contas não-DC, uso de criptografia RC4 em contas de serviço e ausência de filtragem de SID. Se qualquer um desses estiver presente, a direcionalidade é teórica, não prática.

O que fazer agora se minha organização usa floresta de administração com trust unidirecional?

Desative imediatamente a delegação não restrita de Kerberos. Revise todas as permissões DRS com Get-ADObject -Filter 'objectClass -eq "trustedDomain"' | Get-ADACL. Substitua contas de serviço tradicionais por gMSAs. E aplique o patch KB5043218 (junho/2026) para mitigar CVE-2026-47288 e CVE-2026-25177.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
11 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser