Daniel Petri | Director de Formación

Bienvenido a la última entrega de esta serie que analiza los diez principales errores de ciberseguridad de CISA y NSA en el contexto de los entornos híbridos de Active Directory. Active Directory es el sistema de identidad de la mayoría de las organizaciones: una parte crítica de su infraestructura y un objetivo principal para los ciberatacantes.

Esta semana hablaré de los tres últimos errores de configuración de la lista CISA/NSA. Sigue leyendo:

  • Una explicación rápida de cómo afecta cada vulnerabilidad a los entornos de identidad híbridos de Active Directory
  • Riesgos para Active Directory y Entra ID
  • Indicadores de exposición (IOE) e indicadores de compromiso (IOC) que Semperis Directory Services Protector y Purple Knight utilizan para alertarle de la existencia de la vulnerabilidad o de intentos de explotarla

Lea la serie desde el principio: Los diez principales errores de ciberseguridad de la NSA + Seguridad AD (Parte 1)

8. Listas de control de acceso insuficientemente configuradas en recursos compartidos y servicios de red.

Una configuración incorrecta de las listas de control de acceso (ACL), desde el punto de vista de la seguridad de Active Directory, suele significar que los permisos son demasiado permisivos o están asignados incorrectamente. Las ACL demasiado permisivas pueden permitir que usuarios no autorizados accedan, modifiquen o eliminen datos. Las asignaciones incorrectas pueden conceder a los usuarios derechos de acceso innecesarios para su rol o función. Cualquiera de estos problemas puede deberse a una de las siguientes causas:

  • Falta de comprensión del principio del menor privilegio
  • Una interpretación errónea de los requisitos de acceso
  • Supervisión sencilla en la compleja tarea de gestionar los derechos de acceso

Riesgos para la seguridad de la identidad

La principal vulnerabilidad relacionada con la mala configuración de las ACL reside en los recursos compartidos de red y los servicios que protegen las ACL. Sin embargo, el impacto potencial se extiende a toda la organización. Un control de acceso inadecuado puede provocar:

  • Filtraciones de datos
  • - Manipulación no autorizada de datos
  • - Interrupción de los servicios

En el contexto de Active Directory y Entra ID, las ACLs juegan un papel crítico en la seguridad de la infraestructura de autenticación y autorización. Los riesgos se amplifican debido al papel central de los servicios.

Indicadores de exposición e indicadores de compromiso

En Purple Knight y Directory Services Protector, los siguientes indicadores pueden alertarle sobre ACLs insuficientes:

  • Permisos de esquema no estándar. Por defecto, los permisos de modificación del esquema están limitados a los administradores del esquema. Estos permisos otorgan a la entidad de confianza un control total sobre Active Directory.
  • Cambios en la delegación a la cabeza NC del dominio. Los cambios en la delegación a este objeto especial podrían permitir a usuarios sin privilegios sincronizar la base de datos de Active Directory para realizar cracking offline (es decir, un ataque DCSync).
  • Entidades de seguridad no predeterminadas con derechos de DC Sync en el dominio. Las entidades de seguridad con estos permisos en el objeto de contexto de nomenclatura de dominio pueden recuperar los hash de las contraseñas de los usuarios de un dominio de Active Directory (es decir, un ataque DCSync).
  • Cambios de permisos en el objeto AdminSDHolder. Este indicador de seguridad podría indicar un intento de modificar permisos en objetos privilegiados sujetos a AdminSDHolder.
  • Acceso de escritura a RBCD en la cuenta krbtgt. Los atacantes que obtienen acceso de escritura a la delegación restringida basada en roles (RBCD) para un recurso pueden hacer que el recurso suplante la identidad de cualquier usuario.
  • Registro de aplicaciones Azure con acceso de lectura/escritura. Una aplicación maliciosa o mal configurada puede provocar la exposición de datos o poner en peligro un tenant de Azure.
  • Compruebe si se han concedido permisos de API peligrosos a los administradores de servicios de aplicaciones. Un administrador de aplicaciones malintencionado podría utilizar estos permisos para concederse privilegios administrativos a sí mismo o a otros.
  • Los usuarios no administradores pueden registrar aplicaciones personalizadas en Entra ID. Si a los usuarios no administradores se les permite registrar aplicaciones empresariales desarrolladas a medida, los atacantes podrían utilizar esa laguna para registrar aplicaciones nefastas. Los atacantes podrían entonces aprovechar esas aplicaciones para obtener permisos adicionales.
  • Valores predeterminados de seguridad no habilitados en Entra ID. Los valores predeterminados de seguridad requieren autenticación multifactor (MFA), bloquean la autenticación heredada y requieren autenticación adicional al acceder al portal de Azure, Azure PowerShell y Azure CLI.
  • Usuarios privilegiados en AAD que también lo son en AD. El compromiso de una cuenta que tiene privilegios tanto en Active Directory como en Entra ID (anteriormente Azure AD o AAD) puede llevar al compromiso de ambos entornos.
  • Usuarios privilegiados de AD que se sincronizan con AAD. Cuando un usuario privilegiado de Active Directory se sincroniza con Entra ID (antes AAD), un compromiso del usuario Entra ID puede llevar a un compromiso del entorno local.

9. Falta de higiene de las credenciales

Una mala higiene de las credenciales puede implicar:

  • Utilizar contraseñas débiles
  • Reutilización de contraseñas en varias cuentas
  • Compartir credenciales entre usuarios
  • No cambiar los nombres de usuario y contraseñas por defecto
  • No actualizar las credenciales con regularidad
  • No utilizar la AMF
  • Almacenamiento inadecuado de credenciales (por ejemplo, escribiéndolas en papel, almacenándolas en archivos digitales no protegidos, utilizando herramientas de gestión de contraseñas inseguras).

Riesgos para la seguridad de la identidad

Una mala higiene de credenciales puede poner en riesgo todo su ecosistema de red. Los riesgos son especialmente graves en entornos que utilizan Active Directory para la gestión de recursos de red y Entra ID para los servicios en la nube.

En un contexto de Active Directory, una mala higiene de credenciales puede llevar a:

  • Acceso no autorizado al dominio
  • Movimientos laterales dentro de la red
  • Escalada de privilegios

En resumen, este tipo de configuración errónea puede permitir a los atacantes obtener acceso persistente a sus sistemas y comprometer datos sensibles.

Indicadores de exposición e indicadores de compromiso

En Purple Knight y Directory Services Protector, los siguientes indicadores pueden alertarle de una mala higiene de las credenciales:

  • Administradores (o cualquier usuario) con contraseñas antiguas. Si las contraseñas de las cuentas de administrador no se cambian con regularidad, las cuentas pueden ser objeto de ataques de adivinación de contraseñas.
  • Cuenta de administrador de dominio incorporada con contraseña antigua. Si esta contraseña no se cambia con regularidad, la cuenta puede ser vulnerable a ataques de fuerza bruta de contraseña.
  • Cuenta krbtgt de Kerberos con contraseña antigua. Si se compromete la contraseña de la cuenta krbtgt, los actores de amenazas pueden realizar ataques Golden Ticket para obtener acceso a cualquier recurso en un dominio de Active Directory.
  • Cuentas con privilegios (o cualquier usuario) con una contraseña que nunca caduca. Las cuentas de usuario con contraseñas que nunca caducan son objetivos fáciles para adivinar contraseñas por fuerza bruta. Las cuentas que también son administrativas o privilegiadas son un objetivo aún mayor.
  • Usuarios con privilegios con una política de contraseñas débil. Las contraseñas débiles son más fáciles de descifrar mediante ataques de fuerza bruta y dan a los atacantes la oportunidad de moverse lateralmente o escalar privilegios. El riesgo es aún mayor para las cuentas con privilegios. Cuando se ven comprometidas, estas cuentas mejoran las posibilidades de un atacante de avanzar rápidamente dentro de su red.
  • Cuentas de usuario que almacenan contraseñas con cifrado reversible. Los atacantes podrían derivar estas contraseñas del texto cifrado y hacerse con el control de las cuentas.
  • Cuentas de usuario que utilizan cifrado DES. Los atacantes pueden descifrar fácilmente las contraseñas DES utilizando herramientas ampliamente disponibles, lo que hace que estas cuentas estén listas para ser tomadas.
  • La protección personalizada de contraseñas prohibidas no está en uso en Entra ID. Las organizaciones que no utilizan protección personalizada de contraseñas prohibidas son más susceptibles a ataques de adivinación de contraseñas.

10. Ejecución de código sin restricciones

La ejecución de código sin restricciones puede deberse a varios errores de configuración, entre ellos:

  • Permisos de usuario demasiado permisivos
  • Falta de listas blancas de aplicaciones,
  • Funciones de seguridad desactivadas o mal configuradas
  • Uso inadecuado de las técnicas de sandboxing

Riesgos para la seguridad de la identidad

Los sistemas con vulnerabilidades de ejecución de código sin restricciones están en riesgo de actividades no autorizadas tanto por atacantes externos como por amenazas internas. En entornos Active Directory, la ejecución de código sin restricciones puede permitir a un atacante escalar privilegios o ejecutar movimientos laterales dentro de la red. En Entra ID, este tipo de desconfiguración podría permitir la ejecución de código malicioso que puede comprometer los servicios y datos de la nube.

Indicadores de exposición e indicadores de compromiso

Los cambios maliciosos que se aprovechan de estas vulnerabilidades en Active Directory eluden el registro de eventos de seguridad y no pueden detectarse mediante herramientas de supervisión estándar. Para ayudar a mitigar estos riesgos, las organizaciones deben utilizar herramientas que proporcionen detección y respuesta a amenazas de identidad (ITDR) expansivas. Por ejemplo, DSP y PK pueden escanear Active Directory y Entra ID en busca de pruebas de un ataque Mimikatz DCShadow.

Fortalezca sus defensas de identidad

Esta lista de los diez principales errores de ciberseguridad de CISA y NSA plantea importantes retos de seguridad, especialmente en entornos Microsoft Windows y Active Directory. Sin embargo, estas vulnerabilidades no se limitan a estos entornos. Más bien, indican problemas potenciales en una variedad de configuraciones de red.

Semperis subraya que herramientas de seguridad como DSP-I y PK pueden detectar posibles exposiciones y compromisos de seguridad, ofreciendo una forma de supervisar y rectificar los cambios en la infraestructura de AD.

La aplicación de medidas sólidas de ciberseguridad, la realización de auditorías periódicas y la adopción de un enfoque proactivo en la gestión de la configuración de la red pueden ayudar a mitigar estos riesgos. Además, herramientas sólidas de detección y respuesta a amenazas de identidad (ITDR) como Directory Services Protector y Purple Knight-de descarga y uso gratuitos- pueden ayudar a los defensores de la red a prevenir o mitigar la explotación por parte de actores maliciosos. Una defensa fortificada y una supervisión periódica (o mejor aún, continua) de su entorno híbrido de Active Directory es la mejor forma de evitar que estos errores de configuración, comunes pero críticos, le hagan el día a un ciberatacante y le arruinen el suyo.

Entradas anteriores de esta serie