Sean Deuby

La seguridad de Microsoft Active Directory implica hacer frente a una mezcla de riesgos, que van desde errores de gestión a vulnerabilidades sin parchear. A menudo escribimos sobre el hecho de que los ciberatacantes tienen como objetivo AD para elevar privilegios y ganar persistencia en la organización. Investigue una violación de datos típica y descubrirá que probablemente se utilizaron credenciales robadas, a veces para la entrada inicial, a veces para acceder a sistemas críticos, pero siempre en detrimento de la organización atacada.

El refuerzo de AD empieza por conocer las vulnerabilidades y los errores de configuración y gestión más comunes, que allanan el camino a las amenazas. Para defender AD, los administradores necesitan saber cómo atacan los atacantes a su entorno. Sin embargo, ¿cuántos pueden aprobar un examen sorpresa sobre los tipos de agujeros de seguridad por los que se cuelan los actores de amenazas a medida que avanzan por los pasos de la brecha?

Lecturas relacionadas

Fallo de autenticación

Parece irónico, pero algunos de los errores de configuración más frecuentes y perjudiciales que afectan a Active Directory están relacionados con el proceso de autenticación. Considere un escenario en el que una organización quiere permitir una aplicación de terceros o de cosecha propia que no se integra con AD, pero quiere consultar AD para los usuarios activos. La ruta más fácil es simplemente habilitar el acceso anónimo a Active Directory. Si bien esta acción puede tener sentido desde el punto de vista de la productividad para los administradores ocupados, también permite a los usuarios no autenticados consultar AD. Si esa capacidad se habilita sin controles de mitigación, el perfil de riesgo de esa organización va a aumentar sustancialmente.

La vulnerabilidad Zerologon de la que se informó en 2020 fue rápidamente explotada por los atacantes porque les permitía cambiar o eliminar la contraseña de una cuenta de servicio en un controlador de dominio. Los resultados de un ataque exitoso podrían ser catastróficos. Contraseñas débiles, contraseñas que no caducan, ausencia de contraseñas: todas estas son señales de advertencia de que el entorno AD de una organización no es seguro.

Las políticas de contraseñas seguras deberían estar a la orden del día en toda la infraestructura de Active Directory. Cualquier cuenta con el indicador PASSWD_NOTREQD activado debería ser automáticamente objeto de un escrutinio adicional y tener una razón justificable para su configuración. Además, las contraseñas -especialmente las de las cuentas de servicio- deben rotarse periódicamente. Dejar las contraseñas sin cambiar durante mucho tiempo aumenta la probabilidad de éxito de un ataque de fuerza bruta, ya que los atacantes tendrán más tiempo para atacarlas.

Entre los problemas de autenticación que hay que tener en cuenta se incluyen:

  1. Ordenadores y objetos de cuentas de servicios gestionados por grupos (gMSA) con contraseñas establecidas hace más de 90 días.
  2. Contraseñas reversibles en objetos de directiva de grupo (GPO)
  3. Acceso anónimo a Active Directory habilitado
  4. Vulnerabilidad de Zerologon (CVE-2020-1472) si no se aplica el parche.

Permisos excesivos

Como la mayoría de los entornos AD llevan muchos años en producción, sus superficies de ataque han crecido. Muchas de las vulnerabilidades acumuladas de un bosque pueden remontarse al patrón de que alguien necesita que se haga algo, normalmente con prisas, y el menos-menos privilegiada para conseguirlo consume demasiado tiempo, no es fácil de conseguiro simplemente desconocida. En consecuencia, el usuario o grupo o permiso es sobre-privilegiado sólo para asegurar que la solicitud será satisfecha y el ticket cerrado. Y por supuesto, ese derecho nunca se elimina, por lo que la superficie de ataque simplemente crece y crece.

En realidad, no es raro que los entornos AD tengan un número innecesariamente alto de administradores de dominio, un hecho que puede ser aún más preocupante si esas cuentas son huérfanas y simplemente están esperando a ser aprovechadas en un ataque. Las cuentas de servicio con exceso de permisos también suponen un alto riesgo porque sus contraseñas suelen estar configuradas para no caducar, y muchas de ellas tendrán contraseñas débiles (lo que las convierte en un buen objetivo de kerberoasting). A medida que aumenta el número de usuarios con privilegios administrativos, también lo hace la superficie de ataque que hay que proteger. La pertenencia a estos grupos debe controlarse estrictamente.

Los errores ocurren, por supuesto. A medida que un entorno AD se hace más grande y complejo, por ejemplo, alguien podría no tener en cuenta adecuadamente los permisos heredados y conceder inadvertidamente a una cuenta demasiados privilegios. Pero incluso gestionar correctamente la delegación de privilegios no es suficiente cuando los atacantes toman la ofensiva.

Como ejemplo, considere el impacto de un ataque AdminSDHolder. Como recordatorio, el contenedor AdminSDHolder almacena el Descriptor de Seguridad aplicado a los grupos privilegiados. Por defecto, cada 60 minutos, el proceso de Propagación de la Descripción de Seguridad (SDPROP) compara los permisos de los objetos protegidos y anula cualquier discrepancia de acuerdo con lo definido en AdminSDHolder.

En un ataque a AdminSDHolder, los actores de amenazas explotan SDPROP para mantener la persistencia mediante la sustitución de los permisos de un objeto con las modificaciones no autorizadas del atacante. Si se identifican y deshacen los cambios en los permisos, pero no se detectan los cambios no autorizados en AdminSDHolder, se restablecerán los cambios del atacante.

Auditar los permisos y controlar las actividades sospechosas es la mejor defensa contra el abuso de privilegios.

Hay que estar atentos a los permisos:

  1. Objetos privilegiados con propietarios no privilegiados
  2. Cambios de permisos en el objeto AdminSDHolder
  3. Usuarios sin privilegios con derechos de DC Sync en el dominio
  4. Cambios en el esquema del descriptor de seguridad por defecto en los últimos 90 días

Ficha de seguridad

Armadas con información sobre los indicadores de exposición (IOE), las organizaciones pueden reforzar la seguridad de su AD. Una herramienta que puede ayudar es Purple KnightPurple Knight , una herramienta gratuita de auditoría de seguridad de AD que Semperis lanzó en marzo. consulta el entorno de Active Directory en modo de "sólo lectura" y realiza un conjunto completo de pruebas contra los vectores de ataque más comunes y eficaces para descubrir configuraciones de riesgo y puntos débiles de seguridad.

El análisis de Active Directory proporciona información sobre su estado de seguridad y reduce el riesgo de que cambios no autorizados o errores de configuración pasen desapercibidos. Los administradores de AD no sólo deben conocer su oficio, sino también las tácticas de sus adversarios. Si tienen en cuenta las señales de advertencia críticas, pueden reforzar AD contra los ataques más comunes.