La identidad es el nuevo perímetro y, en Microsoft Entra ID, suele ser el más débil. En Semperis llevamos años investigando vías de escalada de privilegios, configuraciones erróneas de identidad y sutiles fallos de control de acceso en entornos empresariales. Nos dimos cuenta de que había un problema: mientras los atacantes aprenden rápido, los defensores no tienen dónde practicar con seguridad .
Por eso hemos creado EntraGoat1, un entorno Entra ID de código abierto y deliberadamente vulnerable, diseñado para simular errores de configuración y rutas de ataque del mundo real en un laboratorio práctico al estilo CTF.
Conoce EntraGoat: La figura 1 muestra un avance de lo que te vas a encontrar. Compruébalo aquí.
¿Por qué necesitan EntraGoat los defensores de la seguridad de la identidad?
Los entornos modernos de Entra ID son una mina de oro para los atacantes. Aplicaciones con demasiados permisos, asignaciones de grupo obsoletas y principales de servicio mal gestionados ofrecen más que suficiente para escalar a Administrador Global con unos pocos movimientos inteligentes.
EntraGoat reproduce estas rutas de ataque dentro de su propio inquilino de prueba, dándole un campo de juego seguro y reproducible para aprender, enseñar, probar o validar:
- Escalada de funciones privilegiadas a través de la propiedad de aplicaciones
- Uso indebido de los principales de servicio con los permisos de Graph API
- Cadenas de activación PIM y abuso de roles elegibles
- Intoxicación dinámica de unidades administrativas
- Persistencia sin contraseña con Falsificación de Autoridad de Certificación para suplantación de Administrador Global
¿Cómo funciona EntraGoat?
EntraGoat es en parte CTF, en parte laboratorio de aprendizaje. Cada desafío incluye:
- Un escenario de ataque único con banderas ocultas
- Configuración y limpieza de scripts PowerShell (sin restos en su inquilino)
- Consejos paso a paso (o, como alternativa, ve a ciegas y gánate la cabra)
- Recorridos opcionales (si estás atascado o quieres algunas pistas)
- Entrada de blog que cubre el trasfondo teórico (véanse los enlaces más abajo)
La interfaz web interactiva(Figura 2) te permite seguir tu progreso, revisar los detalles del reto y enviar banderas, todo alojado localmente a través de React. Bajo el capó, cada desafío funciona con PowerShell y Microsoft Graph.
El objetivo de EntraGoat es proporcionar una experiencia de aprendizaje práctica a través de una plataforma de estilo CTF.
La atención se centra por completo en Entra ID, por lo que cada escenario comienza con el acceso a una identidad comprometida y se salta la fase de reconocimiento, proporcionando en su lugar una historia realista de punto de apoyo inicial.
Aunque consideramos integrar plataformas adicionales, como Azure Key Vault para la extracción de secretos o SharePoint para la lectura de banderas, las dejamos fuera intencionadamente. El énfasis se pone en los ataques basados en la identidad, no en la infraestructura en la nube en general.
Ensuciarse las manos
La belleza de EntraGoat radica en su simplicidad. Con comandos PowerShell y un inquilino de prueba Entra ID, usted puede desplegar configuraciones vulnerables y comenzar a explorar técnicas de ataque de identidad inmediatamente.
La plataforma ofrece tanto una interfaz web fácil de usar para la gestión de retos como acceso directo a PowerShell para quienes prefieran la interacción con la línea de comandos. Esta flexibilidad se adapta a diferentes estilos de aprendizaje y preferencias técnicas.
Seguridad por diseño
El EntraGoat se construyó pensando en la seguridad, pero asegúrese de comprobar lo siguiente:
- Sólo se ejecuta en su inquilino de prueba
- Los guiones de limpieza garantizan el orden en el laboratorio
Y utilízalo siempre con responsabilidad. Este es un entorno de aprendizaje armado.
EntraGoat es nuestra forma de retribuir a la comunidad de seguridad haciendo que los ataques a la identidad sean comprensibles, repetibles y defendibles.
Entrena como un atacante. Defiéndete como un profesional. Rompe cosas de forma responsable.
Échale un vistazo enGitHub.
Feliz pirateo!
El equipo de EntraGoat
Sigue adelante con EntraGoat
- Primeros pasos con EntraGoat: Descifrar Entra ID de forma inteligente
- Escenario 1: Abuso de la titularidad principal del servicio en Entra ID
- Escenario 2: Explotación de Permisos de App-Only Graph en Entra ID
Descargo de responsabilidad
Este contenido se proporciona únicamente con fines educativos e informativos. Su objetivo es promover la concienciación y la corrección responsable de las vulnerabilidades de seguridad que puedan existir en los sistemas que usted posee o está autorizado a probar. El uso no autorizado de esta información con fines maliciosos, explotación o acceso ilegal está estrictamente prohibido. Semperis no respalda ni aprueba ninguna actividad ilegal y declina toda responsabilidad derivada del uso indebido del material. Además, Semperis no garantiza la exactitud o integridad del contenido y no asume ninguna responsabilidad por los daños derivados de su uso.