Defiéndase contra las amenazas basadas en la identidad

Catálogo de amenazas a la identidad

Obtenga información sobre las amenazas de identidad más comunes, cómo detectarlas y cómo defender su entorno de AD frente a los ataques.

¿Cuáles son los tipos más comunes de ataques basados en la identidad?

Las agencias de ciberseguridad de la alianza Five Eyes, incluidas CISA y la NSA, han instado a las organizaciones a reforzar la seguridad en torno a Microsoft Active Directory (AD), uno de los principales objetivos de los ciberatacantes. Debido a su uso generalizado y a su complejidad, AD es especialmente vulnerable a las ciberamenazas, sobre todo a los ataques y tácticas basados en la identidad que se analizan aquí.

Modificación de AdminSDHolder

La modificación de AdminSDHolder es una técnica que los atacantes utilizan para mantener el control sobre las cuentas con privilegios elevados en Active Directory. Al cambiar la configuración de seguridad especial que se aplica a estas cuentas, los atacantes pueden evitar que los administradores eliminen su acceso.

Asado AS-REP

AS-REP Roasting es un método que utilizan los atacantes para robar contraseñas en un sistema solicitando información de inicio de sesión cifrada que es más fácil de descifrar. Esta táctica se dirige a cuentas que no requieren comprobaciones de seguridad adicionales al iniciar sesión.

DCShadow

DCShadow es una técnica de ataque que permite a los atacantes registrar un controlador de dominio fraudulento en Active Directory. Los atacantes pueden entonces realizar cambios no autorizados directamente en la base de datos de AD evitando ser detectados.

DCSync

En un ataque DCSync, los atacantes utilizan permisos específicos para engañar a un controlador de dominio para que comparta hashes de contraseñas y otros datos confidenciales de Active Directory.

SAML dorado/SAML plateado

Un ataque SAML dorado es una técnica en la que un atacante falsifica respuestas de autenticación SAML para obtener acceso no autorizado a aplicaciones -a menudo con altos privilegios- sin necesidad de credenciales legítimas o interacción directa con el proveedor de identidad. En un ataque Silver SAML, los actores de la amenaza falsifican las respuestas de autenticación SAML de un proveedor de identidad en la nube como Microsoft Entra ID, lo que permite el acceso no autorizado a aplicaciones que confían en ese proveedor, incluso sin credenciales de usuario o autenticación multifactor.

Billete de oro

En un ataque Golden Ticket, un atacante obtiene el control de un componente de cifrado de claves (la cuenta KRBTGT) en un dominio de Windows, lo que le permite crear tickets Kerberos válidos. Con estos tickets falsificados, el atacante puede hacerse pasar por cualquier usuario, incluidos los administradores de dominio, y obtener acceso ilimitado a todo el dominio durante un período prolongado.

Golden gMSA

En un ataque Golden gMSA, los actores de amenazas vuelcan los atributos de la clave raíz KDS para generar y explotar las contraseñas de las cuentas de servicios administrados en grupo (gMSA), que se utilizan para ejecutar servicios con credenciales administradas.

Kerberoasting

Kerberoasting es un ataque en el que los atacantes solicitan tickets de servicio para cuentas que ejecutan servicios en un dominio de Windows. Estos tickets se cifran con el hash de la contraseña de la cuenta de servicio, y los atacantes pueden intentar descifrar el hash sin conexión para recuperar la contraseña de la cuenta de servicio.

Reconocimiento LDAP

El reconocimiento LDAP es una técnica utilizada por los atacantes para consultar el protocolo LDAP con el fin de recopilar información sobre usuarios, grupos, equipos y permisos dentro de un entorno Active Directory.

Extracción NTDS.dit

Cuando los atacantes copian el archivo NTDS.dit, están robando la base de datos de Active Directory, que contiene toda la información de las cuentas de usuario, incluidos los hashes de las contraseñas. Con este archivo, los atacantes pueden extraer datos confidenciales, como las contraseñas de todas las cuentas del dominio.

Pasar el Hash

En un ataque Pass the Hash, los actores de la amenaza utilizan el hash de una contraseña robada para autenticarse y acceder a los sistemas como el usuario comprometido.

Pase el billete

En un ataque Pass the Ticket, los actores de la amenaza utilizan un ticket Kerberos robado para autenticarse como usuario sin necesidad de su contraseña.

Pulverización de contraseñas

En un ataque de pulverización de contraseñas, los atacantes prueban contraseñas comunes en muchas cuentas en lugar de centrarse en una sola. Esta táctica reduce la probabilidad de bloqueos de cuentas, ya que los actores de la amenaza intentan obtener acceso y escalar sus privilegios.

Extracción de contraseñas en texto plano/abuso de GPP

El abuso de las Preferencias de Política de Grupo (GPP) es un buen ejemplo de extracción de contraseñas en texto plano. En versiones anteriores de GPP, los administradores podían configurar cuentas o servicios locales con contraseñas, que se almacenaban en archivos XML, a partir de los cuales se podían descifrar con bastante facilidad. Además, las contraseñas que se establecían en GPP podían aplicarse en varios servidores y estaciones de trabajo miembros.

Billete de plata

Un ataque Silver Ticket se produce cuando los atacantes falsifican tickets de servicio Kerberos para servicios específicos, como recursos compartidos de archivos o aplicaciones web, tras comprometer las credenciales de la cuenta de servicio.

Zerologon Exploit

Zerologon es una vulnerabilidad crítica (CVE-2020-1472) en el protocolo de autenticación Netlogon que permite a los atacantes hacerse pasar por cualquier ordenador, incluido un controlador de dominio.