Grupos privilegiados

AD Recycle Bin

Los miembros de este grupo tiene la capacidad de leer objetos eliminados de Active Directory, que pueden revelar información confidencial:

Get-ADObject -filter 'isDeleted -eq $true' -includeDeletedObjects -Properties *

SeBackupPrivilege

El privilegio SeBackupPrivilege permite a un usuario leer cualquier archivo en un sistema, ignorando los permisos de acceso. Un atacante con este privilegio puede copiar archivos sensibles, como el archivo SAM o los registros de seguridad, lo que les permite extraer hashes de contraseñas y acceder a credenciales privilegiadas. Puede ser abusado mediante herramientas que aprovechan este privilegio para obtener acceso a datos críticos del sistema, facilitando la escalada de privilegios o el movimiento lateral dentro de la red.