Cuando se trata de ciberseguridad, especialmente la seguridad de la infraestructura de identidad crítica, la expectativa mínima para cada organización debe ser cerrar las vulnerabilidades conocidas y las brechas de configuración. Bienvenido a la segunda parte de nuestro debate en tres partes sobre cómo la lista de los diez principales errores de configuración de ciberseguridad de CISA y NSA se aplica a los entornos híbridos de Active Directory y cómo puede solucionar estos problemas en su propia organización.
Lectura relacionada: Los diez principales errores de ciberseguridad de la NSA + Seguridad AD (Parte 1 de 3)
Acerca de esta serie
La Parte 1 de esta serie aborda los tres primeros puntos de la lista de los diez principales errores de ciberseguridad de CISA y la NSA. En este artículo se analizan los cuatro siguientes. Terminaré la lista la semana que viene, en la Parte 3.
Recapitulemos: Active Directory es el sistema de identidad principal para la mayoría de las organizaciones, independientemente del sector. En esta serie, proporciono:
- Una explicación rápida de cada vulnerabilidad en relación con un entorno de identidad de Active Directory híbrido
- Riesgos asociados
- Indicadores de exposición (IOE) e indicadores de compromiso (IOC) en Semperis Directory Services Protector y la herramienta gratuita de la comunidad Purple Knight que pueden alertarle de la vulnerabilidad o de posibles intentos de explotarla.
Vamos a sumergirnos.
4. Falta de segmentación de la red
La segmentación de red consiste en dividir una red en varias subredes para minimizar el número de hosts que pueden interactuar directamente entre sí. Sin una segmentación adecuada, la red de una organización es esencialmente plana. Una vez que un atacante obtiene acceso a una parte de la red, puede potencialmente acceder a todas las demás partes sin encontrar barreras internas.
Riesgos para la seguridad de la identidad
La falta de segmentación no logra contener las brechas de seguridad y puede permitir el rápido movimiento lateral de los actores maliciosos. En una red plana, todos los sistemas son más fácilmente accesibles desde cualquier punto de entrada, lo que aumenta el impacto potencial de un ataque. Los sistemas críticos, como las bases de datos sensibles y los servidores que alojan Active Directory, son mucho más vulnerables a las ciberamenazas porque las defensas internas son mínimas.
Sin segmentación, las ciberamenazas como el ransomware pueden propagarse más rápidamente por la red de su organización. Active Directory está especialmente en riesgo porque es un objetivo principal para los atacantes que quieren elevar privilegios y obtener control administrativo sobre los recursos de la red.
Afrontar el riesgo de identidad
En ciberseguridad, la atención a la segmentación va más allá de la red. La segmentación también abarca la identidad.
La segmentación de confianza supera la tradicional (e insuficiente) dependencia del bosque de Active Directory como único límite de confianza. En su lugar, requiere un nivel granular de control, conocido como microsegmentación, que se alinea con el marco de Confianza Cero. El acceso a los recursos debería depender de una evaluación multifacética de la fiabilidad.
Para una postura de seguridad sólida, la toma de decisiones debe basarse en un análisis exhaustivo de varios puntos de datos. Herramientas como Forest Druid permiten a los administradores determinar la posición de cada identidad en relación con los activos de nivel 0, proporcionando la información detallada que se necesita para tomar decisiones de seguridad fundamentadas. Estas herramientas facilitan la exportación de objetos de nivel 0 a sistemas de autenticación, permitiendo así la aplicación de salvaguardias adicionales, como la autenticación de dos factores (2FA), o la activación de funciones avanzadas de auditoría, mejorando su seguridad general.
5. Mala gestión de los parches
En esencia, la mala gestión de parches se refiere a la falta de procesos sistemáticos para identificar, adquirir, probar e instalar actualizaciones y parches de software de manera oportuna y fiable. Esta negligencia puede dar lugar a que en la red funcionen sistemas obsoletos. Estos sistemas pueden albergar vulnerabilidades conocidas. Para entornos complejos, incluyendo aquellos que aprovechan tanto Active Directory como Entra ID, la gestión de parches es crucial dado el papel integral que estos servicios desempeñan en la seguridad de la red y la gestión de identidades.
Riesgos para la seguridad de la identidad
Cualquier sistema o aplicación que no se parchee con regularidad es un objetivo potencial de explotación. Los riesgos son aún mayores para los servicios de directorio. Active Directory, la autoridad central para la autenticación y la aplicación de políticas en la mayoría de los entornos basados en Windows, está particularmente en riesgo. Si un controlador de dominio de Active Directory se ve comprometido debido a una vulnerabilidad no parcheada, todo el dominio -posiblemente todo el bosque- está en peligro.
Las consecuencias potenciales de una mala gestión de los parches son amplias y pueden incluir:
- Filtraciones de datos
- Infecciones por malware
- Ataques de ransomware
- Pérdida de servicio
Indicadores de exposición e indicadores de compromiso
En Purple Knight y Directory Services Protector, los siguientes indicadores pueden alertarle de problemas de mala gestión de parches:
- Enterprise Key Admins con acceso completo al dominio. Este problema se corrigió en una versión de Windows 2016. Sin embargo, si no se ha aplicado la corrección, los miembros de este grupo pueden replicar todos los cambios de Active Directory, como se observa en los ataques de DCSync.
- Ordenadores con versiones antiguas del sistema operativo. Los ordenadores con versiones de SO antiguas y no compatibles pueden ser atacados con exploits conocidos o sin parches.
- SMBv1 está activado en los controladores de dominio. SMBv1 es un protocolo antiguo (obsoleto por Microsoft en 2014), que se considera inseguro y susceptible a todo tipo de ataques.
- La firma SMB no es necesaria en los controladores de dominio. El tráfico de red sin firmar es susceptible a ataques que abusan del protocolo de desafío-respuesta NTLM.
- Vulnerabilidad de Zerologon. Sin este parche, un atacante no autenticado puede explotar CVE-2020-1472 para elevar sus privilegios y obtener acceso administrativo en el dominio.
- Cuentas de equipo que aprovechan CVE específicas. Una alerta sobre estos indicadores puede significar que un atacante ha explotado la vulnerabilidad especificada para escalar privilegios a un controlador de dominio.
6. Elusión de los controles de acceso al sistema
La elusión de los controles de acceso al sistema suele producirse cuando los mecanismos de seguridad están mal configurados o cuando se aprovechan fallos en el diseño del sistema. Los actores de amenazas pueden utilizar este desvío para obtener acceso no autorizado a sistemas o datos. Esta configuración incorrecta o explotación puede tener su origen en diversos problemas:
- Configuración por defecto insegura
- Procesos de autenticación defectuosos
- Listas de control de acceso (ACL) ineficaces
- La explotación de las vulnerabilidades del sistema
Riesgos para la seguridad de la identidad
Los sistemas con controles de acceso mal aplicados son intrínsecamente vulnerables al uso no autorizado. Este problema es de vital importancia para los sistemas de gestión de identidades y accesos como Active Directory y Entra ID.
Estos sistemas, que son fundamentales para la infraestructura de seguridad, gestionan las identidades de los usuarios y controlan el acceso a los recursos en toda la red. Si un atacante puede eludir estos controles, podría obtener el mismo nivel de acceso a los recursos que los usuarios legítimos, o peor aún, escalar sus privilegios.
Si el bypass no se detecta, puede permitir el acceso persistente de un atacante. En tales casos, un atacante continúa explotando las vulnerabilidades del sistema y accediendo a datos sensibles durante un período prolongado. La persistencia no sólo pone en peligro la integridad, confidencialidad y disponibilidad de sus sistemas, sino que también puede hacer que su organización incumpla los requisitos de conformidad.
La elusión de los controles de acceso al sistema abarca actividades que se desvían de los procedimientos operativos estándar. Consideremos un adversario que compromete un controlador de dominio a través de la interacción física directa con el sistema. Esta violación puede exponer componentes sensibles, como el disco del sistema y las copias de seguridad de Active Directory, a un acceso no autorizado. Una contraseña de Modo de Restauración de Servicios de Directorio (DSRM) inadecuadamente asegurada presenta una vulnerabilidad significativa en esta situación. El atacante podría interrumpir los servicios, introducir cargas maliciosas en la base de datos de Active Directory y ejecutar un reinicio del sistema para poner en práctica estos cambios.
Afrontar el riesgo de identidad
La integración de los sistemas críticos con una solución de supervisión completa puede ofrecer visibilidad de las actividades no autorizadas. La supervisión periódica (o mejor aún, continua) de Active Directory puede ayudarle a detectar y responder rápidamente a los incidentes de seguridad de identidades.
7. Métodos MFA débiles o mal configurados
La autenticación multifactor (AMF) débil o mal configurada puede producirse de varias maneras:
- Permitir opciones alternativas inseguras
- No aplicar la AMF a todas las cuentas de usuario
- Utilizar ajustes por defecto sin adaptar la configuración a las necesidades de su organización.
- No mantener actualizado el software AMF
Los atacantes pueden aprovechar estas lagunas para eludir la capa de seguridad adicional para la que se diseñó la AMF.
Cualquier cuenta de usuario, aplicación o sistema que dependa de MFA para su seguridad puede verse comprometido si MFA no está configurado de forma robusta. El riesgo es mayor para las cuentas administrativas, especialmente en entornos de Active Directory o Entra ID. Allí, dichas cuentas tienen privilegios elevados que pueden ser explotados para causar daños generalizados dentro de la infraestructura de TI de la organización.
Riesgos para la seguridad de la identidad
El uso indebido de la AMF puede reducir la confianza de los usuarios en la seguridad del sistema, lo que podría dar lugar a comportamientos de riesgo o al incumplimiento de las políticas de seguridad. Además, si se considera que la AMF no es fiable, su organización podría enfrentarse a un escrutinio normativo y a daños en su reputación, sobre todo si se produce una brecha debido a la mala configuración.
Indicadores de exposición e indicadores de compromiso
En Purple Knight y Directory Services Protector, los siguientes indicadores pueden alertarle de problemas relacionados con MFA:
- MFA no configurado para cuentas privilegiadas en Entra ID. Las cuentas con acceso privilegiado son objetivos más vulnerables para los atacantes. El compromiso de un usuario privilegiado representa un riesgo significativo y requiere protección adicional.
- Compruebe si hay usuarios con MFA débil o sin MFA en Entra ID. Un usuario malintencionado puede vish o smish (formas de ataques de ingeniería social) códigos y engañar a los usuarios para que proporcionen autenticación.
- Compruebe si la autenticación heredada está permitida en Entra ID. Permitir la autenticación heredada aumenta el riesgo de que un atacante inicie sesión utilizando credenciales previamente comprometidas.
- La Política de Acceso Condicional no requiere MFA en cuentas privilegiadas. Exigir MFA en cuentas privilegiadas refuerza la seguridad del inquilino y garantiza que las cuentas privilegiadas se identifiquen al tener que proporcionar algo más que un nombre de usuario y una contraseña.
- Política de acceso condicional que no requiere MFA cuando se ha identificado un riesgo de inicio de sesión. Un riesgo de inicio de sesión medio o alto representa una probabilidad de media a alta de que se haya realizado una solicitud de autenticación no autorizada.
- Coincidencia de Números habilitada en MFA en Entra ID. Cuando la coincidencia de números está habilitada en MFA, los usuarios son propensos a ataques de fatiga MFA.
Detección de errores de configuración en Active Directory y Entra ID
La semana que viene, trataré las implicaciones de Active Directory en los últimos tres puntos de la lista de los diez errores de ciberseguridad de CISA y NSA. Por ahora, puede descargar nuestras herramientas gratuitas para la comunidad Purple Knight y Forest Druidy empezar a detectar estos errores de configuración en tu entorno de Active Directory.
Otros artículos de esta serie
