Según el Informe de Defensa Digital más reciente de Microsoft, casi la mitad de todos los compromisos de respuesta a incidentes de Microsoft se encontraron con configuraciones de Active Directory no seguras. Esto corrobora un informe similar de Mandiant de que 9 de cada 10 ciberataques explotan un servidor de Active Directory. Estas estadísticas aleccionadoras son un recordatorio de que las organizaciones que esperan crear un entorno de TI más resistente simplemente deben priorizar el endurecimiento de Active Directory.
En Semperis, nos enorgullecemos de nuestro conocimiento de seguridad de AD, incluidas las mejores prácticas para fortalecer sus servidores de Active Directory. Siga leyendo para obtener más información sobre el endurecimiento de AD o solicite una demostración hoy mismo para ver cómo nuestro soporte de Active Directory mejora la ciberseguridad general de su organización.
Pocas situaciones son tan perturbadoras como un ataque a Active Directory. Cada usuario y dispositivo depende del servicio de identidad. Los atacantes que comprometen Active Directory pueden potencialmente:
- Elevar sus permisos
- Crear y eliminar cuentas
- Acceso a datos críticos
- Persisten sin ser detectados en el entorno de la víctima
Uno de los objetivos de la ciberseguridad es mantener la continuidad de las operaciones empresariales. Construir una defensa sólida que permita la resiliencia cibernética significa asegurar Active Directory contra las amenazas, debilidades y rutas de ataque comunes que utilizan los actores de amenazas, así como planificar una recuperación rápida y segura de Active Directory.
Lectura relacionada: ¿Qué es la seguridad de Active Directory?
Piense como un ciberatacante
Los ataques contra Active Directory suelen comenzar con un reconocimiento, seguido de un plan para escalar privilegios y moverse lateralmente. Al aprovechar la apertura de Active Directory, los ciberdelincuentes utilizan el reconocimiento para descubrir todo, desde cuentas de servicio hasta la composición de varios grupos.
Por defecto, cualquier usuario autenticado puede utilizar fácilmente el protocolo ligero de acceso a directorios (LDAP) para consultar Active Directory en busca de recursos como aplicaciones, otros usuarios y grupos. Con herramientas como PowerView y BloodHound, las consultas LDAP permiten a los atacantes obtener una vista de pájaro de su entorno.
Como resultado, parte del refuerzo de Active Directory contra ataques implica la capacidad de detectar consultas sospechosas. Esta tarea puede suponer un reto, ya que las consultas LDAP son habituales y normalmente legítimas. Aún así, las empresas deben tratar de identificar cualquier consulta LDAP de fuentes inusuales dentro del entorno y correlacionar esa información con cualquier otra actividad que pueda indicar un ataque.
Los actores de amenazas también favorecen ciertas técnicas. Veamos algunos de sus trucos preferidos y cómo puede mitigar estas amenazas para reforzar Active Directory de forma más eficaz.
Ataques de kerberoasting
Muchas aplicaciones que se integran con Active Directory-SQL Server, por ejemplo-requieren el uso de cuentas de servicio. Estas cuentas son como las cuentas de usuario normales, pero están dedicadas a una aplicación y no requieren inicios de sesión de usuario interactivos.
Las cuentas de servicio pueden tener muchos privilegios, aunque a menudo no es necesario. Las cuentas también suelen tener contraseñas -a veces muy, muy antiguas- que no son complejas o difíciles de descifrar.
¿Cómo funciona el Kerberoasting?
Los servicios se anuncian a sí mismos para los usuarios en Active Directory a través de nombres principales de servicio (SPN). Las amenazas encuentran las cuentas de servicio consultando los SPN y utilizan Kerberoasting para descifrar la contraseña de la cuenta de servicio objetivo. Al igual que muchos ataques sigilosos, Kerberoasting funciona abusando de una funcionalidad legítima.
- Tras utilizar una cuenta de usuario de dominio para autenticarse en Active Directory, el actor de la amenaza recibe un Ticket de Concesión de Ticket Kerberos (TGT) del Centro de Distribución de Claves (KDC).
- El atacante solicita un ticket de servicio para el servicio objetivo.
- El controlador de dominio genera un ticket Ticket Granting Service (TGS) para ese servicio, cifra el ticket con la contraseña del servicio y, a continuación, envía el ticket al "usuario", en este caso, el actor de la amenaza.
- El atacante crackea el hash de la contraseña que encriptó el ticket TGS.
- Usando el hash crackeado, el atacante puede iniciar sesión en el servicio objetivo y aprovecharse de cualquier privilegio que tenga ese servicio.
¿Cómo se puede reforzar Active Directory contra Kerberoasting?
Las organizaciones pueden limitar el riesgo de Kerberoasting imponiendo contraseñas largas y complejas para las cuentas de servicio y utilizando cifrado AES para los tickets de servicio Kerberos.
Más información sobre la protección de Active Directory contra Kerberoasting.
Ataques con el Boleto Dorado
Una de las cuentas más críticas a proteger en Active Directory es la cuenta KRBTGT, que existe como cuenta de servicio para el servicio KDC. Si un atacante se hace con el control de la cuenta KRBTGT, puede crear TGT falsos y aprovechar esos tickets para causar graves daños a la organización. Este método se conoce como ataque Golden Ticket.
¿Cómo funciona un ataque con el Billete Dorado?
Los ataques Golden Ticket son muy difíciles de detectar.
- El ataque comienza cuando un atacante obtiene el control de una cuenta que tiene privilegios elevados y puede acceder a un controlador de dominio; cada controlador de dominio ejecuta una instancia del KDC.
- El actor de la amenaza utiliza una herramienta como Mimikatz para robar el hash NTLM de la cuenta KRBTGT.
- Una vez que el atacante tiene el hash de la contraseña KRBTGT, sólo necesita el nombre de dominio completo (FQDN) del dominio, el identificador de seguridad del dominio y el nombre de usuario de la cuenta que quiere atacar para crear un TGT.
- El atacante utiliza el TGT para hacerse pasar por usuarios legítimos y obtener potencialmente un acceso ilimitado.
¿Cómo se puede reforzar Active Directory contra un ataque Golden Ticket?
Para combatir un ataque Golden Ticket, las organizaciones deben cambiar la contraseña KRBTGT dos veces seguidas. Actualice la contraseña siempre que cualquier empleado que tuviera el poder de crear un Golden Ticket abandone la organización. (Un experto de Semperis, Jorge de Almeida Pinto, ha desarrollado un script PowerShell para agilizar este proceso).
Además, busque banderas rojas como tickets falsificados que a veces contienen errores como desajustes en el ID relativo (RID) o cambios en la vida útil del ticket. Y siga las mejores prácticas de seguridad de Active Directory, incluida la limitación del número de usuarios con acceso a los controladores de dominio.
Más información sobre la protección de Active Directory frente a los ataques Golden Ticket.
Pasar el hash y pasar el billete ataca
Los ataques Pass the Hash y Pass the Ticket son métodos populares para lograr el movimiento lateral.
¿Cómo funcionan los ataques Pass the Hash y Pass the Ticket?
En un ataque Pass the Hash, una amenaza roba primero el hash de la contraseña NTLM de un usuario. A continuación, utiliza ese hash para saltarse los controles de autenticación, sin necesidad de descifrar la contraseña real.
El ataque Pass the Ticket es similar al ataque Pass the Hash pero abusa de Kerberos en lugar de NTLM. En este ataque, el actor de la amenaza utiliza un ticket Kerberos robado para autenticarse como usuario, de nuevo sin necesidad de conocer la contraseña real de la víctima.
¿Cómo se puede reforzar Active Directory contra los ataques Pass the Hash y Pass the Ticket?
Para mitigar un ataque Pass the Hash, puede desactivar el uso del protocolo de autenticación NTLM, del que se aprovecha este ataque. Además:
- Esté atento a comportamientos inusuales de los usuarios, como un elevado número de intentos de acceso a los recursos de la red. Dicho comportamiento puede ser un signo de cualquiera de los dos ataques.
- Minimice el valor de las cuentas comprometidas aplicando el principio del menor privilegio. Asegúrese de que sólo tienen derechos de acceso privilegiados quienes los necesitan.
Más información sobre la protección de Active Directory contra los ataques Pass the Hash y Pass the Ticket.
Centrarse en la seguridad de las cuentas para reforzar Active Directory
Proteger las contraseñas es fundamental para reforzar Active Directory. Actualice las políticas de contraseñas tradicionales para que reflejen las recomendaciones actuales de Microsoft y el NIST.
- Examine, elimine o supervise atentamente las cuentas a las que se permite autenticarse sin contraseña.
- Actualice las cuentas de servicio con contraseñas complejas y seguras de al menos 25 caracteres.
Al igual que los atacantes se aprovechan de las funcionalidades legítimas para realizar tareas de vigilancia, también se aprovechan de las cuentas con privilegios. Las cuentas con permisos excesivos pueden existir por muchas razones.
A menudo, el problema es el resultado de presiones empresariales. Un usuario puede necesitar realizar ciertas tareas urgentemente. Determinar cómo proporcionar acceso respetando el principio del mínimo privilegio se considera demasiado laborioso. Los grupos anidados también pueden dar lugar a situaciones de herencia complicadas.
Con el tiempo, estas situaciones pueden descontrolarse. El resultado es un entorno de Active Directory lleno de cuentas con privilegios excesivos.
A medida que crece el número de cuentas de usuario y de servicio con privilegios excesivos, también lo hace la superficie de ataque de Active Directory. Para reducirla, las organizaciones deben asegurarse de que los permisos se delegan correctamente.
A nivel estratégico, esto requiere que el equipo de Active Directory comprenda realmente las necesidades empresariales de los usuarios y grupos del entorno.
- Cuando construya su entorno, ponga recursos similares en la misma unidad organizativa (OU) y sub-OUs.
- Delegue permisos a grupos en lugar de a usuarios concretos.
- Determine el ámbito de cada grupo que desee crear y asigne privilegios en función de las funciones.
- Revise con frecuencia los permisos de usuarios y grupos.
- Supervise continuamente los cambios no autorizados que puedan conducir a una escalada de privilegios o al robo de credenciales, y desh ágalos.
Estos pasos hacen que el proceso de auditoría de permisos sea más eficaz y menos tedioso.
El refuerzo de Active Directory incluye la seguridad del controlador de dominio
Podría decirse que los controladores de dominio son la parte más crítica de la infraestructura de Active Directory. Un controlador de dominio comprometido puede derribar la casa, permitiendo a los actores de amenazas:
- Modifique todas las cuentas de su entorno
- Crear nuevas cuentas
- Propagar malware
- Tome otras medidas para perturbar su entorno
Debido a su sensibilidad, los controladores de dominio deberían ser una prioridad a la hora de aplicar parches. Pero ese paso es sólo el principio.
- Controle estrictamente el acceso a los controladores de dominio. Sólo deben tener acceso aquellos administradores que lo necesiten absolutamente. Examine qué objetos de directiva de grupo (GPO) están vinculados a la OU del controlador de dominio en Active Directory y confirme que sólo el grupo de administradores de dominio tiene establecidos los permisos Permitir inicio de sesión a través de servicios de escritorio remoto y Permitir inicio de sesión localmente.
- Desactive la navegación web en los controladores de dominio. Cualquier apertura a un controlador de dominio supone un riesgo significativo. El impacto de un compromiso potencial debido a un drive-by download u otro ataque es simplemente demasiado significativo para justificar el riesgo. Sus cortafuegos también deben desempeñar un papel, bloqueando las conexiones salientes desde los controladores de dominio a Internet a menos que sea necesario.
- Siga las mejores prácticas de seguridad física. Microsoft recomienda instalar los controladores de dominio físicos en bastidores o jaulas de seguridad específicos, separados de la población general de servidores. Microsoft también recomienda configurar los controladores de dominio con chips Trusted Platform Module (TPM).
- Utilice el cifrado. Proteja todos los volúmenes de los servidores controladores de dominio mediante el Cifrado de unidad BitLocker.
- Proteger los controladores de dominio virtuales. Ejecute los controladores de dominio virtuales en hosts físicos separados de otras máquinas virtuales. Los administradores de estos hosts pueden controlar los controladores de dominio virtuales, así que mantenga esas cuentas de administrador separadas de otros administradores de virtualización.
El endurecimiento de Active Directory es imprescindible
El refuerzo de Active Directory requiere una combinación de vigilancia y proactividad. En Semperis, ofrecemos herramientas para ayudar a las organizaciones a identificar y abordar las brechas de seguridad en sus entornos de Active Directory.
- Evalúe la superficie de ataque de su identidad híbrida y cierre los caminos a sus activos de identidad de nivel 0 con herramientas gratuitas como Purple Knight y Forest Druid.
- Analice su arquitectura de seguridad y desarrolle planes de corrección y recuperación -o, si ocurre lo peor, obtenga ayuda experta para un ataque activo- con los Servicios de preparación y respuesta ante infracciones.
- Implemente la reversión automática de cambios sospechosos en Active Directory con Directory Services Protector ( DSP).
- Acelere y simplifique el proceso de recuperación de Active Directory con Active Directory Forest Recovery ( ADFR).
- Mantenga la seguridad de la modernización y migración de Active Directory con la ayuda experta de Semperis.
Estas soluciones pueden ayudarle a identificar, recuperarse y responder a ciberataques garantizando la integridad y disponibilidad de Active Directory local, así como Entra ID y Okta. Empezar no tiene por qué ser costoso ni llevar mucho tiempo; existen herramientas gratuitas para identificar brechas de seguridad críticas. Cualquiera sea el enfoque que elija, comience por hacer del fortalecimiento del Directorio Activo una parte documentada de su plan de ciberseguridad.
