|
Usuarios con privilegios en AAD que también tienen privilegios en AD
|
Comprueba si hay usuarios con privilegios en Azure AD que también lo sean en AD local. Si se pone en peligro una cuenta con privilegios tanto en AD como en AAD, se pueden poner en peligro ambos entornos. | Crítica |
|
|
|
Actualización anómala de la contraseña
|
Detecta cuentas de usuario en las que la marca de tiempo del cambio de contraseña (pwdLastSet) no coincide con los metadatos del atributo subyacente (registro de cambio de unicodePwd). Esta discrepancia sugiere que la contraseña podría haberse modificado de tal forma que se elude el comportamiento normal de actualización de Active Directory o la coherencia de la replicación. | Medio |
|
|
|
La duración del bloqueo de la cuenta es inferior al umbral recomendado
|
Comprueba si la duración del bloqueo de la cuenta está configurada en menos de 60 segundos. Una duración de bloqueo corta puede aumentar el riesgo de que se produzcan ataques de fuerza bruta con éxito y no se ajusta a las prácticas recomendadas de seguridad de Microsoft Entra. | Bajo |
|
|
|
El umbral de bloqueo de la cuenta está por debajo del mínimo recomendado
|
Comprueba si el umbral de bloqueo de la cuenta está configurado en menos de 10 intentos fallidos de inicio de sesión. Un umbral bajo puede provocar el bloqueo de la cuenta del usuario debido a errores accidentales al iniciar sesión, al tiempo que ofrece una protección adicional limitada contra los ataques de fuerza bruta. | Bajo |
|
|
|
Cuenta con altSecurityIdentities configuradas
|
Comprueba si hay cuentas con el atributo altSecurityIdentities configurado. El atributo altSecurityIdentities es un atributo multivalor utilizado para crear asignaciones para certificados X.509 y cuentas Kerberos externas. Cuando se configura, es posible añadir valores que esencialmente suplantan la identidad de esa cuenta. | Alta |
-
MITRE ATT&CK:
Escalada de privilegios
-
ANSSI:
vuln1_delegación_a2d2
|
|
|
Cuenta con delegación restringida configurada para un SPN fantasma
|
Busca cuentas que tengan Delegación Restringida configurada para SPN fantasma. Cuando los equipos son dados de baja, su configuración de delegación no siempre se limpia. Dicha delegación podría permitir a un atacante que tenga privilegios para escribir en el atributo ServicePrincipalName de otra cuenta de servicio, escalar privilegios en esos servicios. | Alta |
-
MITRE ATT&CK:
Escalada de privilegios
-
ANSSI:
vuln1_delegación_a2d2
|
|
|
Cuenta con delegación restringida configurada para krbtgt
|
Comprueba si hay cuentas que tengan configurada la delegación restringida a la cuenta KRBTGT. | Crítica |
|
|
|
Cuenta con delegación restringida de Kerberos configurada para AZUREADSSOACC
|
Busca cuentas que tengan delegación restringida configurada para la cuenta de equipo SSO, AZUREADSSOACC. Si una cuenta de Active Directory tiene la delegación restringida de Kerberos configurada para la cuenta de equipo AZUREADSSOACC, un atacante puede utilizarla para generar tickets de Ticket Granting Service (TGS). | Alta |
-
MITRE ATT&CK:
Movimiento lateral Escalada de privilegios
|
|
|
Cuenta en SPN con delegación sin restricciones
|
Busca cuentas de equipo o usuario con SPN que sean
de confianza para la delegación Kerberos sin restricciones. Estas cuentas
cuentas almacenan los TGT Kerberos de los usuarios localmente para autenticar
a otros sistemas en su nombre.
Los ordenadores y usuarios de confianza con delegación
son blanco fácil de ataques basados en Kerberos.
| Advertencia |
|
|
|
Cuenta sin PGID legible
|
Detecta usuarios y equipos cuyo PGID no puede leer. Esto puede deberse a que se ha eliminado el permiso predeterminado de acceso de lectura, lo que podría indicar un intento de ocultar al usuario (junto con la eliminación del atributo «memberOf»). | Medio |
-
MITRE ATT&CK:
Evadir la defensa
|
|
|
Objeto AD creado en los últimos 10 días
|
Busca cualquier objeto de AD que haya sido creado recientemente. Permite detectar cuentas desconocidas o ilegítimas. Está pensado para ser utilizado en la búsqueda de amenazas, el análisis posterior al ataque o la confirmación de que el sistema ha sido comprometido. | Información |
|
|
|
Usuarios con privilegios de AD sincronizados con AAD
|
Comprueba los usuarios privilegiados de AD que están sincronizados con AAD. Cuando un usuario privilegiado de AD está sincronizado con AAD, un compromiso del usuario de AAD puede resultar en que el entorno local también se vea comprometido. | Alta |
|
|
|
ADCS ESC1 – Asignación de suministros a los afiliados con autenticación EKU
|
Comprueba si las plantillas de certificado del bosque cumplen todas las condiciones siguientes: la aprobación del administrador está desactivada, no se requieren firmas autorizadas, se permite la opción «Suministro en la solicitud» y existe una EKU de autenticación. | Alta |
-
MITRE ATT&CK:
Acceso a las credenciales Escalada de privilegios
-
ANSSI:
vuln1_adcs_template_auth_enroll_with_name
-
MITRE D3FEND:
Detectar - Análisis de Certificados
|
|
|
ADCS ESC11 – Autoridad de certificación sin aplicación del cifrado RPC
|
Identifica las entidades certificadoras de Active Directory Certificate Services (AD CS) que no aplican el cifrado RPC para las solicitudes de inscripción de certificados. Comprueba si la CA tiene desactivada la bandera de interfaz IF_ENFORCEENCRYPTICERTREQUEST, lo que permite las solicitudes de certificados a través de una interfaz RPC que no requiere privacidad de paquetes. | Alta |
|
|
|
ADCS ESC13: plantilla de certificado con política de emisión vinculada a un grupo
|
Encuentra plantillas de certificados publicadas que contienen extensiones de políticas de emisión vinculadas a grupos, lo que las hace susceptibles a la técnica de abuso ESC13. | Alta |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
ADCS ESC13: plantillas de certificados con políticas de emisión vinculadas a grupos
|
Encuentra plantillas de certificados publicadas que contienen extensiones de políticas de emisión vinculadas a grupos, lo que las hace susceptibles a la técnica de abuso ESC13. | Alta |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
ADCS ESC14: asignación de certificados débiles
|
Detecta plantillas de certificados vulnerables a ESC14 debido a asignaciones explícitas de certificados mal configuradas mediante el atributo «altSecurityIdentities». «AltSecurityIdentities» es un atributo de Active Directory con varios valores que se utiliza para asignar certificados X.509 a cuentas de usuario con fines de autenticación basada en certificados. Algunos formatos de asignación se consideran seguros, mientras que otros son poco seguros y propensos al uso indebido. | Alta |
|
|
|
ADCS ESC15 – Vulnerabilidad del esquema 1
|
Detecta configuraciones y comportamientos que permiten el ataque ADCS ESC15 (también conocido como EKUwu, CVE-2024-49019), que abusa de las plantillas de certificados con la versión 1 del esquema para emitir certificados para sujetos arbitrarios.
ESC15 aprovecha una vulnerabilidad no documentada en las plantillas de certificados de la versión 1 del esquema que permite a los atacantes inyectar OID de políticas de aplicación (usos de clave extendidos) arbitrarios en las solicitudes de firma de certificados. Cuando está presente, un atacante puede solicitar certificados que suplantan cuentas con privilegios (por ejemplo, administradores de dominio), lo que permite el movimiento lateral y la escalada de privilegios dentro del dominio. | Crítica |
|
|
|
ADCS ESC16 – Autoridad de certificación con la extensión de seguridad desactivada a nivel global
|
Identifica las entidades certificadoras de los Servicios de certificados de Active Directory (AD CS) que están configuradas para deshabilitar globalmente la extensión de seguridad SID (szOID_NTDS_CA_SECURITY_EXT) mediante la inclusión del OID 1.3.6.1.4.1.311.25.2 en la política de la CA\DisableExtensionList. Esta configuración hace que la CA omita la extensión de seguridad SID de todos los certificados emitidos, independientemente de la configuración de la plantilla individual. | Alta |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
ADCS ESC3 – Certificado de agente de inscripción
|
Detecta plantillas de certificados vulnerables al ataque ADCS ESC3, que aprovecha las configuraciones incorrectas en las plantillas del agente de inscripción (agente de solicitud de certificados) para permitir la emisión no autorizada de certificados en nombre de otros usuarios. ESC3 es un ataque que requiere dos plantillas complementarias mal configuradas que funcionen juntas.
En primer lugar, un atacante con derechos de inscripción obtiene un certificado de una plantilla configurada con el agente de solicitud de certificados EKU (OID: 1.3.6.1.4.1.311.20.2.1). Esto otorga al titular del certificado la capacidad de solicitar certificados en nombre de otros usuarios del dominio. A continuación, el atacante utiliza esto para firmar una solicitud de firma de certificado (CSR) para una segunda plantilla que requiere firmas autorizadas de agentes de inscripción o que no tiene requisitos de firma. | Crítica |
|
|
|
ADCS ESC4: las rutas de control de riesgo exponen las plantillas de certificados
|
Busca entidades principales no predeterminadas con capacidad para escribir propiedades en plantillas de certificado publicadas. El control de las plantillas de certificado permite que la autoridad de certificación emita un certificado arbitrario. De este modo, es posible obtener un certificado de autenticación de tarjeta inteligente para cualquier usuario, lo que permite suplantar su identidad. | Alta |
-
MITRE ATT&CK:
Acceso a las credenciales
-
ANSSI:
vuln1_adcs_template_ control
-
MITRE D3FEND:
Detectar - Análisis de Certificados
|
|
|
ADCS ESC5 – Objeto PKI con una lista de control de acceso (ACL) vulnerable
|
Identifica objetos de Servicios de certificados de Active Directory (ADCS) con listas de control de acceso (ACL) excesivamente permisivas. Cuando entidades no administrativas tienen permisos de escritura peligrosos en estos objetos PKI, pueden modificar configuraciones críticas para la seguridad y permitir ataques de escalada de privilegios. | Alta |
-
MITRE ATT&CK:
Acceso a las credenciales Evadir la defensa Persistencia Escalada de privilegios
-
MITRE D3FEND:
Detectar - Análisis de certificados Harden: análisis de la lista de control de acceso Harden: Análisis de certificados
|
|
|
ADCS ESC7: cuenta sin privilegios con permiso para «Administrar CA» o «Administrar certificados»
|
Identifica las entidades certificadoras de los Servicios de certificados de Active Directory (AD CS) en las que se conceden permisos administrativos de alto impacto a entidades sin privilegios. En concreto, comprueba las cuentas que no se consideran altamente privilegiadas, pero a las que se les han asignado los derechos de acceso ManageCA o ManageCertificates en una entidad certificadora. | Bajo |
|
|
|
ADCS ESC8 – Autoridad de certificación de Active Directory con inscripción web
|
Identifica los servidores AD CS del dominio que aceptan la autenticación NTLM para Web Enrollment. Los atacantes pueden abusar de un fallo en AD CS Web Enrollment que permite ataques de retransmisión NTLM para autenticarse como usuario con privilegios. | Crítica |
|
|
|
ADCS ESC9 – sin extensión de seguridad
|
Detecta plantillas de certificados vulnerables a ADCS ESC9, que aprovecha las plantillas configuradas para omitir la extensión de seguridad SID (szOID_NTDS_CA_SECURITY_EXT). Las plantillas con el indicador CT_FLAG_NO_SECURITY_EXTENSION (0x80000 o 524288) en msPKI-Enrollment-Flag no incluyen esta extensión en los certificados emitidos, lo que impide la validación de la autenticación basada en SID introducida en el parche de mayo de 2022 (CVE-2022-26923).
Sin la extensión SID, los controladores de dominio utilizan la asignación UPN implícita para la autenticación. Los atacantes con permisos GenericWrite sobre una cuenta de víctima pueden modificar el userPrincipalName para que coincida con un usuario con privilegios, solicitar un certificado y luego autenticarse como ese usuario con privilegios. Esto elude la asignación de certificados fuertes incluso cuando StrongCertificateBindingEnforcement está establecido en 1 (predeterminado), lo que permite la escalada de privilegios a administrador de dominio. | Crítica |
|
|
|
Cuenta de administrador habilitada pero inactiva
|
Busca cuentas de administrador que estén habilitadas, pero que no hayan iniciado sesión en los últimos 90 días. Los atacantes que puedan comprometer estas cuentas podrán operar sin ser detectados. | Medio |
-
MITRE ATT&CK:
Acceso a las credenciales Escalada de privilegios
-
ANSSI:
vuln1_user_accounts_ dormant
-
MITRE D3FEND:
Desalojar - Bloqueo de la cuenta
|
|
|
Administrador con contraseña antigua
|
Busca cuentas de administrador cuya contraseña no se haya cambiado en más de 180 días. Esto podría hacer que estas cuentas sean vulnerables a los ataques de adivinación de contraseñas. | Advertencia |
|
|
|
Las unidades administrativas no se utilizan
|
Comprueba el uso de unidades administrativas en el sistema Entra
tenant. Las unidades administrativas son una característica de Entra ID que permite
restringir el alcance administrativo de los usuarios privilegiados. Las organizaciones que utilizan unidades administrativas pueden tener más granularidad en la asignación de roles.
| Medio |
-
MITRE ATT&CK:
Movimiento lateral
|
|
|
Objeto AdminSDHolder con la herencia habilitada
|
Comprueba si se ha activado el legado en la lista de control de acceso (ACL) del objeto AdminSDHolder, lo que podría indicar un intento de modificar los permisos de los objetos privilegiados que están sujetos a AdminSDHolder (por ejemplo, usuarios o grupos con adminCount=1). Los cambios en el objeto AdminSDHolder son muy poco frecuentes. Los administradores deben saber que se ha realizado un cambio y ser capaces de articular la razón del mismo. Si el cambio no fue intencional, la probabilidad de compromiso es muy alta. | Crítica |
-
MITRE ATT&CK:
Evadir la defensa Escalada de privilegios
|
|
|
Objeto AdminSDHolder con cambios en los permisos
|
Busca cambios en la lista de control de acceso (ACL) del objeto AdminSDHolder. Podría indicar un intento de modificar los permisos de los objetos privilegiados que están sujetos a AdminSDHolder. | Crítica |
-
MITRE ATT&CK:
Evadir la defensa Escalada de privilegios
-
ANSSI:
ya que la reanimación de tumbas es una operación poco común y muy privilegiada. vuln1_permissions_ adminsdholder vuln1_privileged_members_perm vuln2_privileged_members_perm
|
|
|
Se ha habilitado el acceso anónimo a AD
|
Busca la presencia del indicador que permite el acceso anónimo. El acceso anónimo permitiría a los usuarios no autentificados consultar AD. | Alta |
|
|
|
Acceso anónimo de NSPI a AD habilitado
|
Detecta cuando el acceso anónimo a la interfaz del proveedor de servicios de nombres (NSPI) está activado. Permite enlaces anónimos basados en RPC a AD. NSPI rara vez está habilitado, por lo que si se encuentra habilitado debería ser motivo de preocupación. | Alta |
|
|
|
Bloqueo de propiedades de instancia de aplicación desactivado
|
Este indicador comprueba las aplicaciones que tienen desactivado el bloqueo de propiedades de instancia de aplicación. El bloqueo de propiedades de instancia de aplicación es una característica en Entra ID que restringe la habilidad de agregar o modificar propiedades sensibles en los principales de servicio. Los atacantes pueden buscar principales de servicio privilegiados e intentar usarlos para moverse lateralmente agregando credenciales al principal de servicio existente si obtienen acceso a un usuario con la habilidad de hacerlo. | Medio |
|
|
|
Los contextos adicionales de nombre de la aplicación y ubicación geográfica están desactivados en la autenticación multifactorial (MFA)
|
Comprueba si los contextos adicionales de nombre de aplicación y ubicación geográfica están desactivados en la autenticación multifactor (MFA). Habilitar los contextos adicionales de nombre de aplicación y ubicación geográfica en MFA proporciona un nivel adicional de seguridad para el inicio de sesión de un usuario. | Alta |
|
|
|
Entidad de servicio de aplicación con un permiso de API de riesgo
|
Comprueba los permisos de la API que podrían suponer un riesgo si no están planificados y apruebados adecuadamente. Los administradores de aplicaciones maliciosos podrían utilizar estos permisos para concederse privilegios administrativos a sí mismos o a otros. | Crítica |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Solicitud con clave secreta o certificado caducado
|
Comprueba si hay certificados o secretos que hayan alcanzado su fecha de caducidad. Este indicador no indica un riesgo directo o probabilidad de compromiso. | Información |
|
|
|
Los usuarios autenticados pueden añadir registros DNS
|
Comprueba si el grupo «Usuarios autenticados» tiene permiso para crear nuevos registros DNS en cualquier zona DNS del dominio. Cuando el grupo «Usuarios autenticados» posee el permiso «CreateChild» en una zona DNS, todas las cuentas autenticadas del dominio pueden crear nuevos registros DNS en esa zona sin necesidad de privilegios elevados. Un atacante que aproveche esta vulnerabilidad puede registrar un nombre de host que coincida con un servicio interno legítimo, redirigir el tráfico a un sistema controlado por él y llevar a cabo ataques de tipo «man-in-the-middle» (MitM), robo de credenciales o establecer persistencia dentro del entorno. | Bajo |
|
|
|
Cuenta AZUREADSSOACC cuya contraseña se modificó hace más de 90 días
|
Comprueba la cuenta de equipo Azure SSO (AZUREADSSOACC) para determinar si la contraseña se ha rotado en los últimos 90 días. La contraseña de la cuenta de equipo Azure SSO no se cambia automáticamente cada 30 días. Si la contraseña de esta cuenta se ve comprometida, un atacante podría generar una solicitud Ticket Granting Service (TGS) a la cuenta AZUREADSSOACC como cualquier usuario, lo que tiene el efecto de generar un ticket a Azure y hacerse pasar por ese usuario. | Alta |
|
|
|
Cuenta AZUREADSSOACC con delegación restringida basada en recursos
|
Busca una delegación con restricciones basadas en recursos (RBCD) configurada en la cuenta de Entra Seamless SSO. Una cuenta con dicha delegación podría generar solicitudes del Servicio de concesión de tickets (TGS) a Entra ID en nombre de la cuenta AZUREADSSOACC, y suplantar a cualquier usuario del inquilino de Entra que esté sincronizado desde Active Directory. | Medio |
|
|
|
AZUREADSSOACC compatible con el cifrado RC4 o DES
|
Comprueba si el cifrado RC4 o DES es compatible con la cuenta de equipo SSO, AZUREADSSOACC. RC4 y DES se consideran formas inseguras de cifrado y son susceptibles a varios ataques criptográficos. | Medio |
|
|
|
Cuenta de administrador de dominio incorporada utilizada en las últimas dos semanas
|
Comprueba si el lastLogonTimestamp de la cuenta de administrador de dominio integrada se ha actualizado recientemente. Podría indicar que el usuario ha sido comprometido. | Medio |
|
|
|
Cuenta de administrador de dominio integrada con contraseña antigua (180 días)
|
Comprueba si el atributo pwdLastSet de la cuenta de administrador de dominio incorporada se ha cambiado en los últimos 180 días. Si esta contraseña no se cambia con regularidad, esta cuenta puede ser vulnerable a los ataques de fuerza bruta a las contraseñas. | Medio |
-
MITRE ATT&CK:
Acceso a las credenciales
-
ANSSI:
vuln1_contraseña_cambio_priv
-
MITRE D3FEND:
Endurecer - Política de contraseñas fuertes
|
|
|
Cuenta de invitado integrada activada
|
Comprueba si la cuenta «guest» integrada en Active Directory está habilitada. La cuenta «guest» permite el acceso al dominio a cuentas sin contraseña y suele estar deshabilitada en la mayoría de los entornos de AD. | Bajo |
|
|
|
Plantilla de certificado con SAN permitida
|
Comprueba si las plantillas de certificados permiten a los solicitantes especificar un subjectAltName en la CSR. Cuando las plantillas de certificados permiten a los solicitantes especificar un subjectAltName en la CSR, el resultado es que pueden solicitar un certificado como cualquier persona (por ejemplo, un administrador de dominio). Cuando esto se combina con un EKU de autenticación presente en la plantilla de certificado, puede llegar a ser extremadamente peligroso. | Crítica |
-
MITRE ATT&CK:
Acceso a las credenciales Escalada de privilegios
-
ANSSI:
vuln1_adcs_template_auth_enroll_with_name
-
MITRE D3FEND:
Detectar - Análisis de Certificados
|
|
|
Certificado con un algoritmo de cifrado débil o una clave de tamaño reducido
|
Detecta los certificados almacenados en Active Directory que utilizan criptografía débil, como una clave de menos de 2048 bits o el algoritmo de cifrado DSA, que ya ha quedado obsoleto. | Advertencia |
|
|
|
Vulnerabilidad relacionada con la persistencia de la autenticación basada en certificados
|
Comprueba la presencia de roles y permisos específicos de la aplicación Entra ID para Microsoft Graph que, al combinarse, permiten a un usuario establecer la persistencia mediante la autenticación basada en certificados (CBA). | Medio |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Cambios en los especificadores de visualización de AD en los últimos 90 días
|
Busca los cambios recientes realizados en el atributo adminContextMenu en los especificadores de visualización de AD. La modificación de este atributo puede permitir a los atacantes utilizar los menús contextuales para que los usuarios ejecuten código arbitrario. | Bajo |
-
MITRE ATT&CK:
Evadir la defensa Ejecución
|
|
|
Cambios en la política de dominios por defecto o en la política de controladores de dominio por defecto en los últimos 7 días
|
Busca cambios recientes en los GPOs de Política de Dominio por Defecto y Política de Controladores de Dominio por Defecto. Estos GPOs controlan las configuraciones de seguridad de todo el dominio y de los controladores de dominio y pueden ser mal utilizados para obtener acceso privilegiado a AD. | Medio |
-
MITRE ATT&CK:
Movimiento lateral Persistencia
|
|
|
Cambios en la afilicaión del grupo de acceso compatible con PreWindows 2000
|
Busca cambios en el grupo incorporado "Acceso compatible con Windows 2000". Es mejor asegurarse de que este grupo no contenga los grupos "Anonymous Logon" o "Everyone". | Medio |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Cuenta de usuario en un grupo con privilegios
|
Busca cuentas de equipo que pertenezcan a grupos privilegiados integrados. Si una cuenta de equipo pertenece a un grupo privilegiado del dominio, cualquiera que consiga acceder a dicha cuenta (es decir, que se convierta en administrador) podrá actuar como miembro de ese grupo. | Alta |
|
|
|
Apropiación de una cuenta informática mediante la delegación restringida basada en recursos de Kerberos
|
Busca el atributo msDS-Allowed-ToActOnBehalfOfOtherIdentity en los objetos informáticos. Los atacantes podrían utilizar la configuración de Kerberos RBCD para escalar privilegios a través de un equipo que controlen si ese equipo tiene delegación en el sistema objetivo. | Medio |
|
|
|
Equipo con una versión anterior del sistema operativo
|
Busca cuentas de equipo que ejecuten Windows Server 2012-R2, Windows 8.1 o versiones anteriores del sistema operativo. Los equipos que ejecuten versiones antiguas y sin soporte del sistema operativo podrían ser objeto de ataques mediante vulnerabilidades conocidas o sin parchear. | Medio |
|
|
|
Cuenta de ordenador cuya contraseña se modificó por última vez hace más de 90 días
|
Busca cuentas informáticas que no hayan rotado automáticamente sus contraseñas. Las cuentas informáticas deben rotar automáticamente sus contraseñas cada 30 días; los objetos que no lo hagan podrían mostrar indicios de manipulación. | Alta |
-
MITRE ATT&CK:
Acceso a las credenciales
-
ANSSI:
vuln2_contraseña_cambio_servidor_no_cambio_90
-
MITRE D3FEND:
Endurecer - Política de contraseñas fuertes
|
|
|
Ordenador con la contraseña de Microsoft LAPS al descubierto
|
Busca permisos en las cuentas de equipo que podrían provocar la divulgación involuntaria de las contraseñas de las cuentas de administrador local en entornos que utilizan la solución heredada de contraseñas de administrador local de Microsoft (Microsoft LAPS). | Bajo |
|
|
|
Ordenador con la contraseña de Windows LAPS a la vista
|
Busca permisos en las cuentas de equipo que podrían permitir la exposición involuntaria de las contraseñas de las cuentas de administrador local en entornos que utilizan la Solución de contraseñas de administrador local de Windows (Windows LAPS). Estos permisos incluyen el acceso de lectura al atributo msLAPS-Password (modo de texto sin cifrar) y el derecho ampliado ms-LAPS-Encrypted-Password-Attributes (modo cifrado), así como los derechos de escritura DACL y de escritura de propietario que permitirían proporcionar dicho acceso. Windows LAPS es el sucesor integrado del antiguo Microsoft LAPS, disponible en Windows 10/11 y Windows Server 2019 y versiones posteriores tras la actualización de abril de 2023. | Bajo |
|
|
|
Ordenador sin contraseña configurada
|
Comprueba los objetos informáticos que no se han unido al dominio y que probablemente no tengan ninguna contraseña establecida. En muchas organizaciones, se utilizan scripts automatizados o herramientas heredadas como «dsadd» para crear previamente cuentas informáticas. Cuando se utilizan herramientas como «dsadd», el objeto informático se crea con una contraseña en blanco (sin establecer). Esta contraseña está destinada a permanecer vacía hasta que el ordenador real se una al dominio.
Sin embargo, si el equipo nunca se une al dominio, permanece en un estado vulnerable sin contraseña configurada. Los atacantes pueden aprovechar estas cuentas de equipo precreadas y sin usar para moverse lateralmente y escalar privilegios dentro del dominio. | Medio |
|
|
|
La política de acceso condicional contiene una dirección IP privada
|
Comprueba si alguna política de acceso condicional contiene ubicaciones con nombre con direcciones IP privadas. Tener direcciones IP privadas en ubicaciones con nombre asociadas con políticas de acceso condicional podría dar lugar a una situación de seguridad no deseada. | Alta |
-
MITRE ATT&CK:
Acceso inicial
|
|
|
Política de acceso condicional que desactiva la persistencia del token de administrador
|
Busca políticas de acceso condicional que deshabiliten la persistencia de tokens para usuarios con roles de administrador y que tengan una frecuencia de inicio de sesión menor o igual a nueve horas. Cuando un inicio de sesión de administrador tiene su token almacenado en caché en el cliente, es vulnerable a un ataque relacionado con un token de actualización principal. | Medio |
|
|
|
La política de acceso condicional no exige el cambio de contraseña a los usuarios de alto riesgo
|
Verifica si existe una política de Acceso Condicional que requiera un cambio de contraseña si la API de riesgo de usuario de Entra ID Identity Protection determina que el usuario es de alto riesgo. Un riesgo de usuario alto representa una alta probabilidad de que una cuenta haya sido comprometida. | Medio |
|
|
|
La Política de Acceso Condicional no requiere MFA en cuentas privilegiadas
|
Comprueba si las políticas de Acceso Condicional requieren autenticación multifactor (MFA) para cuentas privilegiadas. Los usuarios que tienen roles privilegiados en Entra ID son blancos de alto valor para un atacante. Es crítico para las organizaciones requerir MFA para todos los usuarios que tienen roles privilegiados. | Medio |
|
|
|
La Política de Acceso Condicional no requiere MFA en cuentas privilegiadas
|
Comprueba si las políticas de Acceso Condicional requieren autenticación multifactor (MFA) para cuentas privilegiadas. Los usuarios que tienen roles privilegiados en Entra ID son blancos de alto valor para un atacante. Es crítico para las organizaciones requerir MFA para todos los usuarios que tienen roles privilegiados. | Medio |
|
|
|
La política de acceso condicional no exige la autenticación multifactorial cuando se detecta un riesgo en el inicio de sesión
|
Verifica si existe una política de Acceso Condicional que requiera MFA si el riesgo de la solicitud de autenticación es determinado como medio o alto por la Entra ID. API de riesgo de inicio de sesión de Protección de Identidad. Un riesgo de inicio de sesión medio o alto representa una probabilidad de media a alta de que se haya realizado una solicitud de autenticación no autorizada. | Medio |
|
|
|
Política de acceso condicional que incluye direcciones IP de confianza para la autenticación multifactorial
|
Comprueba si alguna política de Acceso Condicional activada contiene referencias a IPs de Confianza MFA. MFA Trusted IPs es un mecanismo heredado originalmente diseñado para especificar direcciones IP para excluir de MFA por usuario. Las organizaciones deben revisar la configuración de MFA Trusted IPs para determinar si las direcciones deseadas pueden ser creadas como Named Locations. | Alta |
-
MITRE ATT&CK:
Evadir la defensa
|
|
|
Política de acceso condicional con la evaluación de acceso continuo desactivada
|
Comprueba las políticas de acceso condicional que tienen la función de evaluación de acceso continuo desactivada. La función Evaluación de acceso continuo permite revocar el token de acceso a las aplicaciones de Microsoft y limitar el tiempo que un atacante tiene acceso a los datos de la empresa. | Medio |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Protección de contraseña prohibida personalizada no en uso
|
Comprueba si la protección personalizada de contraseñas prohibidas está activada en Entra ID. La protección personalizada de contraseñas prohibidas permite a las organizaciones especificar palabras prohibidas para los clientes, lo que ayuda a evitar que los usuarios creen contraseñas débiles que puedan contener palabras relativas a la organización. | Bajo |
|
|
|
Rol personalizado asignado a entidades sin privilegios en el ámbito de una aplicación.
|
Identifica los casos en los que se asigna una función personalizada con privilegios a un usuario o entidad de servicio sin privilegios, dentro del ámbito de una aplicación específica.
La asignación de una función personalizada con privilegios a una entidad sin privilegios dentro del ámbito de una aplicación específica puede introducir un vector de escalada de privilegios sigiloso. Estas asignaciones suelen pasarse por alto porque no implican funciones de directorio integradas, lo que dificulta su detección mediante revisiones RBAC estándar. | Crítica |
-
MITRE ATT&CK:
Acceso inicial Persistencia Escalada de privilegios
|
|
|
Conjunto de atributos de confianza peligrosos
|
Identifica los fideicomisos con uno de los siguientes atributos establecidos: TRUST_ATTRIBUTE_ CROSS_ORGANIZATION_ENABLE_TGT_DELEGATION o TRUST_ATTRIBUTE_ PIM_TRUST. La configuración de estos atributos permitirá delegar un vale Kerberos o reducirá la protección que proporciona el filtrado SID. | Alta |
|
|
|
Cambios en el esquema predeterminado del descriptor de seguridad en los últimos 90 días
|
Este indicador detecta los cambios realizados en el esquema del descriptor de seguridad predeterminado durante los últimos 90 días. Si un atacante consigue acceder a la instancia del esquema en un bosque determinado, puede modificar el atributo «defaultSecurityDescriptor» en cualquier clase de objeto de Active Directory. Estos cambios se propagarían entonces como nuevas listas de control de acceso (ACL) predeterminadas en cualquier objeto de nuevo creado en Active Directory, lo que podría debilitar la seguridad del sistema. | Alta |
|
|
|
Los usuarios de COM distribuido o de registros de rendimiento no están vacíos
|
Comprueba si hay usuarios sin privilegios que no pueden completar el proceso MFA basándose en los detalles de autenticación que introducen.
MFA añade una capa adicional de seguridad al proceso de inicio de sesión, lo que ayuda a proteger a su organización contra brechas de seguridad. Los usuarios que utilizan MFA tienen menos probabilidades de ser víctimas de ataques de phishing. | Medio |
|
|
|
Se permite la transferencia de zonas DNS a cualquier host
|
Comprueba si hay zonas DNS configuradas para permitir solicitudes de transferencia de zona sin restricciones. Cuando las transferencias de zona DNS no están restringidas, cualquier sistema externo o interno puede solicitar una copia completa de la zona (AXFR). Esto deja al descubierto todos los registros DNS de la zona, incluidos los nombres de servidores internos, las direcciones IP y la infraestructura de correo, lo que proporciona al atacante un mapa completo de la red de la organización sin activar ningún evento de autenticación ni alertas. Un atacante que consiga realizar una transferencia de zona puede identificar inmediatamente objetivos de gran valor, como controladores de dominio, servidores de archivos, sistemas de copia de seguridad e interfaces administrativas. | Crítica |
-
MITRE ATT&CK:
Descubrimiento Reconocimiento
|
|
|
El controlador de dominio se encuentra en un estado incoherente
|
Busca controladores de dominio que puedan estar en un estado incoherente, lo que indica un posible DC falso o no funcional. Los equipos ilegítimos que actúan como DCs podrían indicar que alguien ha comprometido el entorno (por ejemplo, utilizando DCShadow o un ataque similar de suplantación de DC). | Bajo |
|
|
|
El controlador de dominio lleva más de 45 días sin autenticarse en el dominio
|
Busca controladores de dominio que no se hayan autenticado en el dominio en más de 45 días. La falta de autenticación en el dominio revela máquinas no sincronizadas. Si un atacante compromete un DC desconectado y descifra las credenciales o se vuelve a conectar al dominio, podría introducir cambios no deseados en Active Directory. | Medio |
-
MITRE ATT&CK:
Acceso a las credenciales Escalada de privilegios
-
ANSSI:
vuln1_contraseña_cambio_inactivo_dc
-
MITRE D3FEND:
Aislar - Aislamiento de la ejecución
|
|
|
El propietario del controlador de dominio no es un administrador
|
Busca las cuentas de equipo del controlador de dominio cuyo propietario no sea un administrador de dominio, un administrador de empresa o una cuenta de administrador integrada. Obtener el control de las cuentas de los equipos DC permite una vía fácil para comprometer el dominio. | Alta |
|
|
|
Controlador de dominio compatible con el cifrado RC4 o DES
|
Comprueba si el cifrado RC4 o DES es compatible con los controladores de dominio. RC4 y DES se consideran una forma insegura de encriptación, susceptible a varios ataques criptográficos. Múltiples vulnerabilidades en el algoritmo RC4 o DES permiten ataques MITM (Man-in-the-Middle) y de descifrado. | Alta |
|
|
|
Controlador de dominio con contraseña antigua
|
Busca cuentas de máquina de controlador de dominio cuya contraseña no se haya restablecido en más de 45 días. Las cuentas de máquina con contraseñas antiguas podrían indicar un DC que ya no funciona en el dominio. Además, los DC con contraseñas de cuentas de máquina antiguas podrían ser tomados más fácilmente. | Bajo |
|
|
|
Controlador de dominio con el servicio de cola de impresión habilitado
|
Comprueba si hay controladores de dominio que ejecuten el servicio de cola de impresión. | Crítica |
|
|
|
Controlador de dominio con la delegación restringida basada en recursos habilitada
|
Detecta una configuración que concede ciertas cuentas con delegación completa a los controladores de dominio. | Alta |
|
|
|
Controlador de dominio con SMBv1 habilitado
|
Busca controladores de dominio en los que esté habilitado el protocolo SMBv1 heredado. SMBv1 es un protocolo antiguo (descontinuado por Microsoft en 2014), que se considera inseguro y vulnerable a todo tipo de ataques. | Crítica |
|
|
|
Controlador de dominio sin necesidad de firma SMB
|
Busca controladores de dominio en los que no se requiera la firma SMB. El tráfico de red sin firmar es susceptible de ataques que abusan del protocolo de desafío-respuesta NTLM. Un ejemplo común de este tipo de ataques es el SMB Relay, en el que un atacante se sitúa entre el cliente y el servidor para capturar los paquetes de datos transmitidos entre ambos, obteniendo así
obtener acceso no autorizado al servidor o a otros servidores de la red. | Alta |
|
|
|
Confianza en un dominio de terceros sin cuarentena
|
Busca relaciones de confianza de bosque salientes que tengan el indicador de cuarentena establecido en «false», lo que significa que el dominio de confianza no está sujeto al filtrado de SID. Un atacante que haya comprometido el dominio remoto puede suplantar a cualquier usuario o equipo del dominio local (excepto las cuentas con un RID inferior a 1000, excluyendo las cuentas y grupos integrados). Por lo tanto, este atacante puede acceder a todos los recursos del dominio local. Si una ruta de control peligrosa queda expuesta a cualquier cuenta «suplantable» (prácticamente cualquier cuenta que no sea una de las integradas), el atacante también podría escalar sus privilegios hasta el nivel de «Administradores de dominio» y comprometer todo el bosque. | Medio |
|
|
|
Dominio con un nivel funcional obsoleto
|
Busca dominios de AD cuyo nivel funcional esté configurado en Windows Server 2012 R2 o una versión anterior. Un nivel funcional inferior implica que no se pueden aprovechar las funciones de seguridad más recientes disponibles en AD. | Bajo |
|
|
|
Unidad administrativa dinámica con riesgo de autoasignación
|
Detecta casos en los que un usuario asignado para gestionar una unidad administrativa (UA) dinámica también tiene permisos para modificar los atributos utilizados para determinar la pertenencia a la UA. Entra ID soporta UAs dinámicas, donde la membresía del usuario es determinada automáticamente por reglas basadas en propiedades tales como departamento o cargo. Si esto está mal configurado, esta configuración puede ser abusada para eludir las restricciones de alcance y escalar privilegios. | Alta |
|
|
|
Administradores clave de la empresa con acceso completo al dominio
|
Busca pruebas de un error en ciertas versiones de Windows Server 2016 Adprep que concedía acceso indebido al grupo Enterprise Key Admins. Este problema se corrigió en una versión posterior de Windows 2016; sin embargo, si no se ha aplicado esta corrección, este error concede a este grupo la capacidad de replicar todos los cambios de AD (ataque de DCSync). | Alta |
|
|
|
Restablecimiento de la contraseña de la cuenta de Entra Connect Sync
|
Comprueba si se han restablecido las contraseñas de las cuentas de Entra Connect Sync que no han iniciado sesión en los últimos tres días y que se consideran inactivas. | Advertencia |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Rol personalizado «Entra» con permiso de riesgo
|
Comprueba si un rol personalizado contiene permisos peligrosos. Potencialmente, los roles personalizados pueden utilizarse para obtener acceso a información confidencial o realizar acciones maliciosas. | Medio |
|
|
|
El inquilino Entra es susceptible de un ataque de Otorgamiento de Consentimiento Oculto
|
Verifica los permisos y configuraciones de la aplicación para determinar si el inquilino Entra es susceptible a ataques de Otorgamiento de Consentimiento Oculto.
Un ataque de concesión de consentimiento oculto es un tipo de ataque de suplantación de identidad en el que un actor malicioso que controla una aplicación con permisos Directory.ReadWrite.All obtiene acceso a una aplicación y aprovecha los permisos concedidos para escalar sus privilegios. | Medio |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Administrador efímero
|
Busca usuarios que se hayan añadido y eliminado de un grupo de administradores en un periodo de 48 horas. Estas cuentas de corta duración pueden indicar actividad maliciosa. | Bajo |
|
|
|
Pruebas del ataque Mimikatz DCShadow
|
Busca evidencias de que se ha utilizado un equipo para introducir cambios arbitrarios en el AD utilizando un controlador de dominio "falso". Estos cambios eluden el registro de eventos de seguridad y no pueden ser detectados por las herramientas de monitorización estándar. | Crítica |
|
|
|
El FGPP no se aplica al grupo Global
|
Busca la política de contraseñas de grano fino (FGPP) dirigida a un grupo Universal o Local de Dominio. Al cambiar la configuración del ámbito de un grupo de Global a Universal o Local de dominio, la configuración de FGPP deja de aplicarse a ese grupo, lo que reduce sus controles de seguridad de contraseñas. | Medio |
|
|
|
No se exige la certificación FIDO2
|
Comprueba si se aplica la atestación de clave de seguridad FIDO2 en Entra ID. La atestación de claves de seguridad FIDO2 garantiza durante el registro de claves que una clave es de una marca y modelo específicos. Si la aplicación de FIDO2 está deshabilitada, hay un nivel más bajo de garantía de que la llave está siendo registrada. | Medio |
|
|
|
Responsable de seguridad externo en el grupo de privilegios
|
Busca miembros de grupos protegidos incorporados que sean Foreign Security Principals. Se debe tener especial cuidado al incluir cuentas de otros dominios como miembros de grupos privilegiados. Los Foreign Security Principals no tienen el atributo adminCount y por lo tanto pueden no ser detectados por algunas herramientas de auditoría de seguridad. Además, un atacante puede añadir una cuenta privilegiada e intentar ocultarla utilizando este método. | Medio |
|
|
|
El bosque contiene más de 50 cuentas privilegiadas
|
Cuenta el número de cuentas privilegiadas definidas en el bosque. En general, cuantas más cuentas privilegiadas tenga, más oportunidades tendrán los atacantes de comprometer una de estas cuentas. | Medio |
-
MITRE ATT&CK:
Escalada de privilegios Reconocimiento
-
ANSSI:
vuln1_privileged_members
|
|
|
El administrador global ha iniciado sesión en los últimos 14 días
|
Busca Administradores Globales que hayan iniciado sesión durante los últimos 14 días. Los usuarios que tienen el rol de Administrador Global son los usuarios más privilegiados en Entra ID. Un atacante encontrará a los usuarios con el rol de Administrador Global como de alto valor, y un Administrador Global comprometido puede llevar a varios ataques contra la organización. | Información |
|
|
|
gMSA no está en uso
|
Comprueba si hay objetos de cuentas de servicio administradas por grupo (gMSA) habilitados en el dominio. La función gMSA de Windows Server 2016 permite la rotación automática de las contraseñas de las cuentas de servicio, lo que las hace mucho más difíciles de vulnerar para los atacantes. | Medio |
|
|
|
Objeto gMSA con contraseña antigua
|
Busca cuentas de servicios gestionados por grupo (gMSA) que no hayan rotado automáticamente sus contraseñas. Los objetos que no rotan sus contraseñas con regularidad podrían mostrar indicios de manipulación. | Alta |
|
|
|
La GPO aplica la LLMNR
|
Comprueba si algún objeto de política de grupo (GPO) aplica explícitamente la configuración de resolución de nombres de multidifusión local de enlace (LLMNR) a través de entradas de política del registro.
Si LLMNR no está desactivado explícitamente en el entorno, se crea una oportunidad para que los atacantes realicen ataques de envenenamiento LLMNR/NBNS. Estos ataques se pueden utilizar para interceptar solicitudes de autenticación y capturar hash NTLMv2, que luego se pueden descifrar sin conexión o utilizar en ataques de retransmisión. Esta es una táctica común en el movimiento lateral durante las pruebas de penetración de redes internas y las violaciones en el mundo real. | Alta |
-
MITRE ATT&CK:
Colección Acceso a las credenciales
-
MITRE D3FEND:
Detectar: análisis del tráfico DNS Endurecer - Política de contraseñas fuertes Modelo: mapeo de redes
|
|
|
Delegación de enlaces GPO a nivel de sitio AD
|
Busca usuarios que no sean los predeterminados y que tengan permisos de escritura sobre el atributo GPLink o sobre los permisos «Write DACL» o «Write Owner» del objeto. Cuando los usuarios sin privilegios pueden vincular objetos de política de grupo (GPO) a nivel de sitio de Active Directory, tienen la capacidad de provocar cambios en los controladores de dominio. Potencialmente, pueden elevar sus privilegios de acceso y modificar la configuración de seguridad de todo el dominio. | Alta |
|
|
|
Delegación de enlace de GPO en el nivel de OU del controlador de dominio
|
Busca principios sin privilegios que tengan permisos de escritura en el atributo GPLink o Write DAC/Write Owner en el objeto. Cuando los usuarios sin privilegios pueden vincular los GPO en el nivel de OU del controlador de dominio, tienen la capacidad de realizar cambios en los controladores de dominio. Pueden potencialmente elevar el acceso y cambiar la postura de seguridad de todo el dominio. | Alta |
|
|
|
Delegación de enlaces GPO a nivel de dominio
|
Busca usuarios que no sean los predeterminados y que tengan permisos de escritura en el atributo GPLink o en los permisos «Write DACL» o «Write Owner» del objeto. Cuando los usuarios sin privilegios pueden vincular objetos de política de grupo (GPO) a nivel de dominio, tienen la capacidad de aplicar cambios a todos los usuarios y equipos del dominio, así como de elevar potencialmente los niveles de acceso y modificar la configuración de seguridad de todo el dominio. | Alta |
|
|
|
GPO permite el cifrado reversible de contraseñas.
|
Identifica los objetos de política de grupo (GPO) que permiten almacenar contraseñas mediante cifrado reversible. Esta configuración almacena las contraseñas en un formato que se puede descifrar fácilmente, similar a almacenarlas en texto sin formato. Aunque esta configuración puede ser necesaria en casos excepcionales de autenticación heredada, supone un riesgo de seguridad significativo en la mayoría de los entornos modernos. | Bajo |
|
|
|
GPO Almacenamiento Hash LM débil activado
|
Detecta cuando la configuración "Seguridad de red: No almacenar el valor hash de LAN Manager en el siguiente cambio de contraseña" está desactivada en el sistema operativo Windows. Cuando esta configuración está desactivada, los hashes de LAN Manager (LM), que son vulnerables a las técnicas de descifrado de contraseñas, se siguen almacenando durante los cambios de contraseña. La activación de esta opción refuerza la seguridad al evitar el almacenamiento de hashes LM débiles e incitar al uso de mecanismos de almacenamiento de contraseñas más potentes. | Alta |
|
|
|
GPO con contraseña reversible
|
Comprueba el recurso compartido SYSVOL en busca de archivos de preferencias de directiva de grupo que contengan entradas Cpassword, es decir, credenciales almacenadas mediante una clave de cifrado AES fija publicada por Microsoft. | Crítica |
|
|
|
GPO con tareas programadas configuradas
|
Cuando una tarea programada lanza un ejecutable, este indicador comprueba si los usuarios con privilegios bajos tienen permisos para modificar los GPO. Las tareas programadas configuradas a través de políticas de grupo pueden ser arriesgadas si no se configuran correctamente. Pueden causar problemas no deseados y posibles vulnerabilidades de seguridad.
| Bajo |
|
|
|
GPO con propietario sin privilegios
|
Identifica los objetos de política de grupo (GPO) que son propiedad de cuentas sin privilegios. Los objetos de política de grupo suelen ser propiedad del grupo «Administradores de dominio». Si un GPO es propiedad de una cuenta sin privilegios y esa cuenta se ve comprometida, un atacante podría modificar o redirigir el GPO para implementar configuraciones maliciosas en todo el dominio. Dado que los GPO controlan una amplia gama de políticas de configuración, los cambios no autorizados podrían dar lugar a una escalada de privilegios, el robo de credenciales o la persistencia de puertas traseras. | Alta |
|
|
|
Cuenta de invitado inactiva desde hace más de 30 días
|
Comprueba las cuentas de invitados que no han iniciado sesión, utilizando un inicio de sesión interactivo o no interactivo, durante los últimos 30 días. Las cuentas invitadas inactivas dejan una puerta abierta a su inquilino de Azure. | Medio |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Invitaciones de invitados no aceptadas en los últimos 30 días
|
Comprueba si hay invitaciones de invitados que no hayan sido aceptadas en los 30 días posteriores a la invitación. Las invitaciones antiguas suponen un riesgo para la seguridad y deben eliminarse. | Bajo |
|
|
|
Usuario invitado con permiso para invitar a otros invitados
|
Compruebe los permisos de invitación de invitados. No se recomienda permitir que los invitados envíen invitaciones.
Para evitar que invitados no autorizados inviten a otras personas a la organización, considere la posibilidad de actualizar los "Ajustes de invitación de invitados" para restringir esta capacidad. | Medio |
-
MITRE ATT&CK:
Movimiento lateral
|
|
|
Usuarios invitados sin restricciones
|
Comprueba que los usuarios invitados están restringidos en el tenant. Los atacantes pueden utilizar usuarios invitados sin restricciones para realizar la enumeración de usuarios y grupos en el tenant. | Medio |
-
MITRE ATT&CK:
Reconocimiento
|
|
|
Funciones personalizadas con privilegios elevados
|
Comprueba si hay funciones personalizadas que concedan privilegios elevados para permitir a un usuario realizar acciones en las contraseñas y MFA de otros usuarios. Las funciones personalizadas conceden privilegios elevados y pueden suponer un riesgo de seguridad importante si no se gestionan correctamente. | Medio |
|
|
|
Cuenta de rol con privilegios sincronizada de forma híbrida
|
Detecta las cuentas con funciones privilegiadas (excluidos los administradores globales) que se sincronizan desde Active Directory local. Según las directrices de seguridad de Microsoft, las cuentas con funciones privilegiadas deben ser exclusivas de la nube para minimizar la exposición y evitar que se pongan en peligro a través de la infraestructura local. | Medio |
-
MITRE ATT&CK:
Movimiento lateral Escalada de privilegios
|
|
|
Cuenta krbtgt de Kerberos con contraseña antigua
|
Comprueba la antigüedad de la contraseña de la cuenta KRBTGT. Si la contraseña de la cuenta KRBTGT se ve comprometida, se pueden llevar a cabo ataques de «Golden Ticket» para obtener acceso a cualquier recurso del dominio de Active Directory. | Advertencia |
|
|
|
Delegación de transición del protocolo Kerberos configurada
|
Busca servicios que hayan sido configurados para permitir la transición del protocolo Kerberos, que básicamente dice que un servicio delegado puede utilizar cualquier protocolo de autenticación disponible. Los servicios comprometidos pueden reducir la calidad de su protocolo de autenticación que es más fácil de comprometer (por ejemplo, NTLM). | Advertencia |
|
|
|
Cuenta krbtgt con la Delegación Limitada por Recursos (RBCD) activada
|
Busca una cuenta krbtgt que tenga definida una Delegación Restringida Basada en Recursos (RBCD). Normalmente, las delegaciones no deberían crearse en la cuenta krbtgt; si se encuentran, podrían representar un riesgo significativo y deberían mitigarse rápidamente. | Crítica |
-
MITRE ATT&CK:
Escalada de privilegios
-
ANSSI:
vuln1_delegación_a2d2
|
|
|
No es necesario establecer una conexión de canal LDAP en los servidores de dominio
|
Busca controladores de dominio en los que no se requiera el enlace de canal LDAP.
Las configuraciones predeterminadas que ofrece Active Directory no requieren el enlace de canal LDAP, lo que puede dejar el entorno expuesto a posibles amenazas. | Alta |
|
|
|
No se requiere la firma LDAP en los servidores de dominio
|
Busca controladores de dominio donde no se requiera la firma de LDAP. El tráfico de red sin firmar está expuesto a los ataques MITM (Man-in-the-Middle), en los que los atacantes alteran los paquetes y los reenvían al servidor LDAP, haciendo que el servidor tome decisiones basadas en peticiones falsas del cliente LDAP. | Alta |
|
|
|
Se permite la autenticación heredada
|
Comprueba si la autenticación heredada está bloqueada, ya sea mediante políticas de acceso condicional o valores predeterminados de seguridad. Permitir la autenticación heredada aumenta el riesgo de que un atacante inicie sesión utilizando credenciales previamente comprometidas. | Información |
|
|
|
Existen menos de 2 Administradores Globales
|
Comprueba la presencia de menos de dos Administradores Globales. Este indicador se ajusta a las recomendaciones de Microsoft de que los clientes deben tener al menos dos administradores globales en el inquilino. | Alta |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Atentado con bomba contra el MAE ocurrido el pasado día
|
Supervisa la actividad de inicio de sesión de los usuarios para detectar intentos de bombardeo de MFA en cuentas privilegiadas. Busca patrones inusuales en la actividad de inicio de sesión de más de cinco intentos fallidos de MFA en el último día. Ten en cuenta que este indicador no detectará la actividad de los usuarios que utilicen la autenticación sin contraseña. El bombardeo MFA es una táctica en la que un atacante bombardea al usuario con peticiones MFA, y el usuario sin saberlo o sin querer acepta la petición. | Bajo |
|
|
|
Cambios en la política de MFA para grupos y usuarios
|
Busca cambios (eliminación de usuarios y grupos) de las políticas MFA. Las políticas MFA se consideran un activo sensible en la seguridad de identidad de la organización. En casos de cambios en la membresía de usuarios y grupos en políticas MFA, puede haber un compromiso malicioso de usuarios. | Medio |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Entidad de servicio de Microsoft con credenciales sospechosas
|
Comprueba si ciertos principales de servicio de Microsoft tienen secretos asignados. En Entra ID es posible asignar credenciales tales como secretos o claves a los principales de servicio para aplicaciones Microsoft. En ciertos escenarios, esto le permitiría actuar con los mismos derechos que la aplicación tiene usando flujos de concesión de credenciales de cliente OAuth 2.0 contra Microsoft Graph API. | Crítica |
-
MITRE ATT&CK:
Evadir la defensa Persistencia Escalada de privilegios
|
|
|
Hay más de 10 administradores con privilegios
|
Comprueba si hay 10 o más roles con privilegios asignados. | Advertencia |
|
|
|
Existen más de 5 administradores globales
|
Comprueba la presencia de cinco o más Administradores Globales. Los administradores globales controlan el entorno de Azure AD y tienen acceso a todas las funciones administrativas y al control total de Azure AD. | Alta |
|
|
|
Se ha creado un nuevo token de API
|
Comprueba si se ha creado un nuevo token de API en los últimos 7 días. Los tokens de API con privilegios elevados permiten el acceso y las acciones no autorizadas en Okta. Si un atacante obtiene acceso a la contraseña del token, puede aprovecharla para realizar consultas y acciones que pueden llevar a la persistencia y comprometer el entorno. | Medio |
|
|
|
Se ha concedido un nuevo permiso a un grupo
|
Comprueba si se ha concedido algún permiso a un grupo en los últimos 7 días. Los miembros de un grupo con privilegios elevados pueden realizar acciones importantes en Okta. Por lo tanto, es importante saber qué grupos conceden privilegios elevados. | Bajo |
|
|
|
Se ha concedido un nuevo permiso a un usuario
|
Comprueba si se ha concedido algún permiso a un usuario en los últimos 7 días. Los usuarios con privilegios elevados pueden realizar acciones significativas en Okta. Por lo tanto, es importante identificar y supervisar a los usuarios a los que se han concedido privilegios elevados para mitigar el riesgo de acceso no autorizado y el posible uso indebido de datos confidenciales. | Información |
|
|
|
Se ha concedido el nuevo permiso de superadministrador a un grupo
|
Comprueba los grupos en los que se han concedido permisos de "Superadministrador" en los últimos 7 días. Los miembros de un grupo con privilegios de "Superadministrador" tienen un amplio acceso y pueden realizar acciones importantes en Okta. Por lo tanto, es importante supervisar de cerca y controlar a qué grupos se les otorgan estos privilegios fuertes para evitar el acceso no autorizado y el compromiso potencial del entorno de Okta. | Advertencia |
|
|
|
Se ha concedido el nuevo permiso de superadministrador a un usuario
|
Comprueba si hay usuarios a los que se les hayan concedido permisos de "Super Admin" en los últimos 7 días. Los usuarios con privilegios de "Super Admin" tienen amplios privilegios y control sobre aspectos críticos del entorno de Okta. La concesión no autorizada o excesiva del permiso "Super Admin" puede aumentar significativamente el riesgo de compromiso y acceso no autorizado a Okta. | Alta |
|
|
|
Los usuarios no administradores pueden crear arrendatarios
|
Comprueba si los usuarios que no son administradores pueden crear arrendatarios Entra. Por defecto, todos los usuarios pueden crear arrendatarios Entra adicionales a partir de un arrendatario Entra existente. Las organizaciones deberían restringir a los usuarios no administradores la creación de tenants. | Alta |
|
|
|
Los usuarios que no son administradores pueden registrar aplicaciones personalizadas
|
Comprueba si existe una política de autorización que permita a los usuarios no administradores registrar aplicaciones personalizadas. Si se permite a los usuarios que no son administradores registrar aplicaciones empresariales personalizadas, los agresores podrían utilizar esa laguna para registrar aplicaciones maliciosas, que luego podrían aprovechar para obtener permisos adicionales. | Alta |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Acceso no predeterminado a la clave DPAPI
|
Comprueba los controladores de dominio en busca de principales no predeterminados que tengan permiso para recuperar la clave de copia de seguridad DPAPI del dominio (mediante LsaRetrievePrivateData). Con estos permisos, un atacante podría recuperar todos los datos del dominio cifrados mediante DPAPI. | Advertencia |
|
|
|
Acceso no predeterminado a la clave raíz de gMSA
|
Busca principios no predeterminados con permisos para leer el atributo msKds-RootKeyData en la clave raíz de KDS. Los usuarios con permisos de lectura para esta propiedad podrían comprometer todas las cuentas gMSA del bosque. | Alta |
-
MITRE ATT&CK:
Acceso a las credenciales
-
ANSSI:
vuln1_permissions_ gmsa_keys vuln2_permissions_ gmsa_keys
|
|
|
Principal no predeterminado con derechos de DCSync en el dominio
|
Detecta entidades que no sean las predeterminadas y que tengan permisos de replicación de directorios («Replicar cambios en el directorio», «Replicar todos los cambios en el directorio») o la capacidad de conceder dichos permisos («Escribir DACL», «Propietario») sobre el objeto del contexto de nombres del dominio. | Crítica |
|
|
|
Valor no predeterminado en ms-Mcs-AdmPwd SearchFlags
|
Busca cambios en los searchFlags por defecto en el esquema ms-Mcs-AdmPwd. Algunas banderas pueden provocar inadvertidamente que la contraseña sea visible para usuarios no deseados, lo que permitiría a un atacante utilizarla como una puerta trasera clandestina. | Alta |
|
|
|
Cuenta sin privilegios con adminCount=1
|
Busca cualquier usuario o grupo que pueda estar bajo el control de SDProp (adminCount=1) pero que ya no sea miembro de grupos privilegiados. Podría ser la evidencia de que un atacante intentó cubrir sus huellas y eliminar un usuario que utilizó para comprometer el sistema. | Bajo |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Cambios en la pertenencia a grupos sin privilegios en los últimos 7 días
|
Busca grupos sin privilegios con cambios de pertenencia realizados durante los últimos 7 días. Los cambios de pertenencia a grupos sin privilegios pueden dar acceso a recursos que utilizan privilegios de grupo. | Medio |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Usuarios sin privilegios como administradores de DNS
|
Busca cualquier miembro del grupo DNS Admins que no sea un usuario con privilegios. Los miembros de este grupo pueden ser delegados a administradores que no son de AD (por ejemplo, administradores con responsabilidades de red, como DNS, DHCP, etc.), lo que puede hacer que estas cuentas sean objetivos principales de compromiso. | Alta |
-
MITRE ATT&CK:
Ejecución Escalada de privilegios
-
ANSSI:
vuln1_dnsadmins vuln1_permissions_msdn
|
|
|
Un usuario sin privilegios puede añadir cuentas de equipo al dominio
|
Comprueba si los miembros del dominio sin privilegios pueden añadir cuentas de equipo a un dominio. La posibilidad de añadir cuentas de equipo a un dominio puede ser objeto de ataques basados en Kerberos. | Bajo |
|
|
|
Un usuario sin privilegios no puede completar la autenticación de dos factores
|
Indica si los usuarios sin privilegios del inquilino pueden utilizar y completar el proceso de autenticación multifactorial (MFA) basándose en los datos de autenticación que el usuario haya introducido. | Medio |
-
MITRE ATT&CK:
Acceso inicial Escalada de privilegios
|
|
|
Usuario sin privilegios con acceso a la contraseña de gMSA
|
Busca principios listados dentro del grupo gMSA que no están en los grupos de administración incorporados. Un atacante que controla el acceso a la cuenta gMSA puede recuperar las contraseñas de los recursos gestionados con gMSA. | Alta |
-
MITRE ATT&CK:
Acceso a las credenciales
-
ANSSI:
vuln1_permissions_ gmsa_keys vuln2_permissions_gmsa_keys
|
|
|
Permisos de esquema no estándar
|
Busca administradores adicionales con cualquier permiso más allá del genérico de Lectura para las particiones del esquema. Por defecto, los permisos de modificación del esquema están limitados a los administradores del esquema. Estos permisos otorgan a la entidad de confianza un control total sobre Active Directory. | Alta |
|
|
|
Usuario de Entra no sincronizado que cumple los requisitos para un rol privilegiado
|
Busca usuarios Entra ID que sean elegibles para un rol de alto privilegio y tengan el atributo proxyAddress pero no estén sincronizados con una cuenta AD. Un atacante podría utilizar la coincidencia SMTP para sincronizar usuarios AD controlados con usuarios Entra que son elegibles para roles de alto privilegio. Este proceso sobrescribe la contraseña de AAD y podría resultar en una escalada de privilegios sobre AAD. | Medio |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Replicación de SYSVOL en NTFRS
|
Comprueba si hay indicios de uso de FRS para la replicación de SYSVOL. Los controladores de dominio están configurados para utilizar el protocolo de replicación NTFRS (especialmente para la replicación de SYSVOL). Este protocolo ha quedado obsoleto y añade interfaces administrativas innecesarias a los controladores de dominio. Además, las últimas versiones de Windows Server ya no son compatibles con este protocolo, lo que impide la migración a las versiones más recientes. | Alta |
-
MITRE ATT&CK:
Colección
-
ANSSI:
vuln2_sysvol_ntfrs
|
|
|
Objeto en un grupo con privilegios sin adminCount=1 (SDProp)
|
Busca objetos en grupos privilegiados incorporados cuyo atributo adminCount no esté establecido en 1. Si un objeto dentro de estos grupos tiene un adminCount no igual a 1, podría significar que los DACL se establecieron manualmente (sin herencia) o que hay un problema con SDProp. | Medio |
-
MITRE ATT&CK:
Evadir la defensa Persistencia
|
|
|
Objeto con delegación restringida configurada
|
Busca cualquier objeto que tenga valores en el atributo msDS-AllowedToDelegateTo (es decir, delegación restringida) y que no tenga establecido el bit UserAccountControl para la transición del protocolo. Los atacantes pueden utilizar las delegaciones para moverse lateralmente o escalar privilegios si comprometen un servicio que es de confianza para delegar. | Medio |
|
|
|
Objeto con «Reanimate-Tombstones» ampliado a la derecha
|
Comprueba si hay algún principal que no sea el predeterminado y que tenga configurado el derecho ampliado «Reanimate-Tombstones». | Bajo |
|
|
|
Objetos con cambios recientes en el historial SID
|
Este indicador comprueba si se han producido cambios recientes en el campo «SIDHistory» de los objetos. | Medio |
|
|
|
Principales sin privilegios con permisos de edición de metadatos en GPO vinculados a contenedores AD críticos.
|
Detecta usuarios, grupos o equipos sin privilegios que tienen acceso de escritura a atributos de metadatos críticos de GPO, como rutas de scripts, ejecución de extensiones o filtros WMI, en GPO vinculados a contenedores confidenciales de Active Directory, como la raíz del dominio, la unidad organizativa de controladores de dominio o los sitios. Estos permisos pueden permitir la escalada de privilegios o la manipulación de políticas en áreas de alto impacto del dominio. | Crítica |
|
|
|
El grupo de operadores ya no está protegido por AdminSDHolder y SDProp
|
Comprueba si se ha establecido dwAdminSDExMask en dsHeurstics, lo que indica un cambio en el comportamiento de SDProp que podría comprometer la seguridad. Un cambio en el comportamiento de AdminSDHolder SDProp podría indicar un intento de evadir la defensa. | Medio |
|
|
|
Grupos de operadores que no están vacíos
|
Busca grupos de operadores (Operadores de cuentas, Operadores de servidores, Operadores de copias de seguridad, Operadores de impresión) que contengan miembros. Estos grupos tienen acceso de escritura a los recursos críticos del dominio; los atacantes que son miembros de estos grupos pueden tomar el control indirecto del dominio. | Alta |
|
|
|
El grupo de operadores no está vacío
|
Comprueba si los grupos «Operadores de cuentas», «Operadores de servidores», «Operadores de copias de seguridad» y «Operadores de impresión» de Active Directory contienen usuarios. | Alta |
|
|
|
OU con permisos excesivos que permiten la escalada de privilegios en BadSuccessor dMSA
|
Comprueba si existen permisos excesivos para crear cuentas de servicio gestionadas delegadas (dMSA) en unidades organizativas (OU) de Active Directory o en el cabezal de contexto de nombres (NC) en dominios que contienen controladores de dominio Windows Server 2025. El indicador identifica identidades sin privilegios a las que se han concedido permisos CreateChild, GenericAll, WriteDACL o WriteOwner en OU o en el cabezal NC, lo que podría permitir la ejecución del ataque de escalada de privilegios "BadSuccessor". El ataque "BadSuccessor" es una técnica que explota vulnerabilidades en Active Directory de Microsoft y permite la toma de control de dominios aprovechando dMSAs. | Alta |
|
|
|
Confianza de bosque saliente con el historial de SID activado
|
Busca fideicomisos forestales salientes que tengan el indicador TRUST_ATTRIBUTE_TREAT_AS_ EXTERNAL establecido en true. Si este indicador está activado, una confianza entre bosques a un dominio se trata como una confianza externa a efectos del filtrado de SID. Este atributo relaja el filtrado más estricto realizado en las confianzas entre bosques. | Alta |
|
|
|
La sincronización de hash de contraseñas no está habilitada
|
Comprueba si la sincronización hash de contraseñas está habilitada en el tenant Entra.
La sincronización de hash de contraseña se utiliza para sincronizar los hashes de contraseña de usuario desde una instancia de Active Directory local a una instancia de Entra ID basada en la nube. Esta sincronización ayuda a proteger contra credenciales filtradas que se reproducen de ataques anteriores. | Medio |
|
|
|
Comprobación de la política de contraseñas
|
Evalúa todas las políticas de contraseñas y verifica que se adhieran a las recomendaciones de Okta. Una política de contraseñas sólida es crucial para evitar el acceso no autorizado al entorno mediante ataques de fuerza bruta. | Medio |
|
|
|
Asignación de un rol privilegiado de forma permanente
|
Comprueba la presencia de asignaciones de funciones privilegiadas activas permanentes.
Los roles privilegiados en Microsoft Entra Privileged Identity Management (PIM) que se asignan como "permanentemente activos" plantean riesgos de seguridad significativos. Esta configuración permite a los usuarios acceso continuo a privilegios elevados, incrementando el riesgo de escalada de privilegios y potencial explotación.
| Alta |
|
|
|
Usuario principal con SPN que no admite el cifrado AES en Kerberos
|
Muestra todos los usuarios primarios con servicePrincipalNames (SPN) que no admiten el tipo de cifrado AES-128 o AES-256. El cifrado AES es más potente que el cifrado RC4. Configurar los usuarios primarios con SPNs que soportan el cifrado AES no mitigará los ataques como el kerberoasting. Sin embargo, sí fuerza el cifrado AES por defecto, lo que significa que es posible controlar los ataques de downgrade de cifrado a RC4 (ataques de kerberoasting). | Medio |
|
|
|
Servidor principal con la delegación de autenticación restringida habilitada para un servicio de controlador de dominio
|
Busca equipos y usuarios que tengan activada la delegación restringida para un servicio que se ejecuta en un DC. Si un atacante puede crear una delegación de este tipo, puede autenticarse en ese servicio utilizando cualquier usuario que no esté protegido contra la delegación. | Alta |
|
|
|
Principal con delegación restringida y transición de protocolo habilitada para un servicio de DC
|
Busca equipos y usuarios que tengan una delegación restringida mediante una transición de protocolo definida contra un servicio que se ejecuta en un DC. Si un atacante puede crear una delegación de este tipo para un servicio que puede controlar o comprometer un servicio existente, puede obtener efectivamente un TGS para cualquier usuario con privilegios en el DC. | Alta |
-
MITRE ATT&CK:
Escalada de privilegios
-
ANSSI:
vuln1_delegación_t2a4d
|
|
|
Entidad principal con un SID privilegiado conocido en SIDHistory
|
Comprueba el atributo sIDHistory de los sujetos de seguridad en busca de SID privilegiados conocidos (como «Domain Admins» o «Enterprise Admins»). | Crítica |
|
|
|
Cuenta con privilegios creada recientemente
|
Busca cualquier usuario o grupo que se haya creado en el último mes. Las cuentas y los grupos con privilegios se definen por tener el atributo «adminCount» establecido en 1. | Bajo |
|
|
|
Cuenta con privilegios y buzón de correo
|
Busca cuentas privilegiadas en el inquilino Entra que tengan un buzón asociado.
Las cuentas privilegiadas en el tenant que tienen un buzón de correo pueden ser objetivos principales para los atacantes. Los atacantes pueden intentar utilizar la dirección del buzón de correo de los usuarios con privilegios para conseguir tokens que les permitan acceder, obtener datos confidenciales o moverse lateralmente por el entorno. | Medio |
|
|
|
Cuenta con privilegios sin autenticación multifactorial
|
Comprueba si la autenticación multifactorial (MFA) está activada para los usuarios con derechos administrativos. Las cuentas con acceso privilegiado son objetivos más vulnerables para los atacantes. Un compromiso de un usuario privilegiado representa un riesgo significativo y, por lo tanto, requiere una protección adicional. | Alta |
|
|
|
Cuenta con privilegios y la opción «La contraseña nunca caduca» activada
|
Identifica las cuentas privilegiadas (adminCount = 1) en las que el indicador "La contraseña nunca expira" está activado. Las cuentas de usuario cuyas contraseñas no caducan nunca son objetivos fáciles de adivinar por fuerza bruta. Si estas cuentas son también cuentas administrativas o privilegiadas, esto las convierte en un objetivo mayor. | Alta |
|
|
|
El grupo con privilegios contiene una cuenta de invitado
|
Comprueba si se han asignado funciones privilegiadas a las cuentas de invitados. Los atacantes externos codician las cuentas privilegiadas, ya que proporcionan una vía rápida a los sistemas más críticos de una organización. Las cuentas de invitados representan una entidad externa que no se somete a la misma seguridad que los usuarios de su inquilino; por lo tanto, asignarles funciones privilegiadas supone un riesgo mayor. | Alta |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Cambios en la pertenencia a grupos privilegiados en los últimos 7 días
|
Busca cambios recientes en los grupos con privilegios incorporados. Podría indicar intentos de escalar privilegios. | Medio |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Objeto con privilegios cuyo propietario carece de ellos
|
Busca objetos privilegiados (adminCount =1) que sean propiedad de una cuenta sin privilegios. Cualquier compromiso de una cuenta sin privilegios podría provocar la modificación de la delegación de un objeto privilegiado. | Alta |
|
|
|
Las credenciales de los usuarios con privilegios se almacenan en caché en el RODC
|
Busca usuarios privilegiados con credenciales que se almacenan en caché en los RODC. Aunque no es un indicio inmediato de un ataque, las cuentas de usuarios con privilegios son sensibles y no deberían almacenarse en caché en los RODC, ya que su seguridad física no es tan sólida como la de un DC completo. | Medio |
-
MITRE ATT&CK:
Movimiento lateral Escalada de privilegios
|
|
|
Usuario con privilegios desactivado
|
Busca cuentas de usuario con privilegios que estén deshabilitadas. Si una cuenta privilegiada está deshabilitada, debe ser eliminada de su(s) grupo(s) privilegiado(s) para evitar un mal uso accidental. | Información |
|
|
|
Usuario con privilegios y una política de contraseñas poco segura
|
Busca usuarios privilegiados en cada dominio que no tengan una política de contraseñas fuerte aplicada, según el marco ANSSI. Comprueba tanto la política de contraseñas de precisión (FGPP) como la política de contraseñas aplicada al dominio. Una contraseña segura definida por ANSSI tiene al menos ocho caracteres y se actualiza como máximo cada tres años. Las contraseñas débiles son más fáciles de descifrar mediante ataques de fuerza bruta y pueden proporcionar a los atacantes oportunidades para moverse lateralmente o escalar privilegios. El riesgo es aún mayor en el caso de las cuentas con privilegios, ya que cuando se ven comprometidas mejoran las posibilidades del atacante de avanzar rápidamente dentro de la red. | Crítica |
|
|
|
Usuarios con privilegios con ServicePrincipalNames definidos
|
Busca cuentas con el atributo adminCount establecido en 1 Y ServicePrincipalNames (SPN) definidos en la cuenta. Las cuentas con privilegios que tienen un SPN definido son objetivos de ataques basados en Kerberos que pueden elevar los privilegios a esas cuentas. | Alta |
|
|
|
Se ha asignado el rol de Entra ID prohibido
|
Comprueba la asignación de roles en Entra ID que están obsoletos o cuyo uso está prohibido. Los roles obsoletos o marcados como "nunca usar" pueden plantear riesgos de seguridad significativos si se asignan. Estos roles pueden tener permisos no deseados o no ser mantenidos apropiadamente, potencialmente conduciendo a vulnerabilidades de seguridad. | Alta |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
El grupo de usuarios protegidos no está en uso
|
Comprueba si los usuarios con privilegios pertenecen al grupo de seguridad «Usuarios protegidos». El grupo «Usuarios protegidos» ofrece a los usuarios con privilegios una protección adicional frente a los ataques directos de robo de credenciales. | Información |
|
|
|
Consultar la política con la lista de denegación de LDAP configurada
|
Comprueba si existen listas de IP bloqueadas en LDAP en varios dominios dentro de un entorno de Active Directory. Para cada dominio disponible, consulta Active Directory en busca de las «políticas de consulta» asociadas a ese dominio, prestando especial atención a las listas de IP bloqueadas en LDAP (atributo ldapipdenylist). Las entradas no autorizadas o inesperadas en la lista de IP bloqueadas en LDAP podrían indicar una brecha de seguridad o un intento malintencionado de limitar el acceso a recursos críticos. | Medio |
|
|
|
Actividad reciente de creación de cuentas privilegiadas
|
Busca usuarios o grupos privilegiados (adminCount = 1) que se hayan creado recientemente. Permite detectar cuentas y grupos privilegiados que se hayan creado sin conocimiento previo. Informativo | Información |
|
|
|
Notificar actividad sospechosa de AMF desactivada
|
Comprueba si está activada la configuración para notificar actividades sospechosas relacionadas con la autenticación multifactorial (MFA). Cuando está activada, los usuarios pueden notificar solicitudes sospechosas de MFA en situaciones interactivas de MFA mediante notificaciones push o llamadas telefónicas. Esto permite al usuario participar de forma proactiva en la protección de su cuenta. | Información |
|
|
|
Permisos delegados de riesgo en las unidades organizativas de Active Directory
|
Identifica las unidades organizativas (OU) en Active Directory a las que se han delegado permisos potentes, lo que podría dar lugar a riesgos de seguridad o a una escalada de privilegios no autorizada.
Los permisos potentes delegados en las unidades organizativas (OU) en Active Directory pueden eludir los controles de seguridad estándar y suponer un alto riesgo si se asignan de forma inadecuada. Este indicador se centra en los permisos Reanimate_Tombstone, Unexpire_Password y SID_History. | Medio |
-
MITRE ATT&CK:
Evadir la defensa Persistencia Escalada de privilegios
-
MITRE D3FEND:
Endurecer - Permisos de la cuenta de usuario Harden- Endurecimiento de credenciales Aislamiento - Mediación de acceso
|
|
|
Ruta de script de inicio de sesión de GPO con riesgo
|
Busca rutas de scripts de inicio de sesión en las que el script no exista y en las que un usuario con privilegios reducidos tenga permisos sobre la carpeta principal. Además, comprueba las rutas de scripts de inicio de sesión en las que el script sí existe, pero los usuarios con privilegios reducidos tienen permisos para modificarlas. | Alta |
|
|
|
Pertenencia a un grupo de acceso compatible con versiones anteriores a Windows 2000: riesgo
|
Busca miembros de riesgo (Todos, Inicio de sesión anónimo o Usuarios autenticados) en el grupo integrado «Acceso compatible con versiones anteriores a Windows 2000», que concede acceso de solo lectura a Active Directory. | Medio |
|
|
|
Riesgo de almacenamiento en caché de credenciales RODC
|
Comprueba la política de replicación de contraseñas en los RODC. En muchos casos, los controladores de dominio de solo lectura (RODC) se implementan en zonas donde el nivel de seguridad física de los servidores es menor. Los atacantes pueden intentar atacar los controladores de dominio de solo lectura debido a su menor nivel de seguridad. Aunque no se trata de un indicador directo de un ataque, las credenciales de los usuarios con privilegios no deben almacenarse en caché en los RODC, por si el controlador de dominio resultara comprometido. | Medio |
-
MITRE ATT&CK:
Acceso a las credenciales
-
ANSSI:
vuln2_rodc_priv_ revelado
-
MITRE D3FEND:
Endurecer - Permisos de la cuenta de usuario
|
|
|
Permisos de usuario de riesgo concedidos por GPO
|
Busca usuarios sin privilegios a los que se les han concedido permisos elevados a través de GPO. Los GPO pueden utilizarse para otorgar derechos de usuario peligrosos, como la capacidad de eludir la seguridad del sistema de archivos, iniciar sesión como servicio o incluso realizar acciones con privilegios elevados. | Alta |
|
|
|
Usuarios de riesgo (nivel medio o alto)
|
Comprueba si hay usuarios de riesgo en el inquilino con un nivel de riesgo medio o alto. Los usuarios de riesgo son individuos o cuentas que muestran comportamientos que aumentan la probabilidad de incidentes o violaciones de seguridad, como prácticas de autenticación débiles, susceptibilidad al phishing, patrones de actividad inusuales, acceso a recursos desde dispositivos o redes no seguros, o privilegios elevados. Estos usuarios plantean riesgos significativos, que pueden dar lugar a la pérdida de credenciales, la violación de datos o amenazas internas. | Medio |
-
MITRE ATT&CK:
Acceso inicial
|
|
|
s Miembro de la función Cuentas de sincronización de directorios
|
Comprueba si hay usuarios a los que se haya asignado la función Cuentas de sincronización de directorios que no sean los usuarios predeterminados de Entra Connect. El rol de Cuentas de Sincronización de Directorio en Entra ID está reservado para cuentas utilizadas para Entra Connect. Este rol de directorio es altamente privilegiado y no está destinado a ser asignado a usuarios | Alta |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Los administradores del esquema no están vacíos
|
Comprueba si el grupo «Schema Admins» de Active Directory (AD) contiene miembros. | Alta |
|
|
|
Los valores predeterminados de seguridad no están activados
|
Cuando no hay políticas de acceso condicional configuradas, este indicador comprueba si los valores predeterminados de seguridad están habilitados. Se recomienda utilizar los valores predeterminados de seguridad para los inquilinos que no tienen políticas de acceso condicional configuradas. Los valores predeterminados de seguridad requerirán MFA, bloquearán la autenticación heredada y requerirán autenticación adicional al acceder al portal de Azure, Azure PowerShell y la CLI de Azure. | Alta |
|
|
|
Restablecimiento de contraseña de autoservicio habilitado para funciones privilegiadas
|
Comprueba si los usuarios con funciones privilegiadas en Entra ID pueden utilizar el restablecimiento de contraseña de autoservicio. El restablecimiento de contraseña de autoservicio (SSPR) es beneficioso en las organizaciones para los usuarios finales, pero tiene desventajas de seguridad para las cuentas privilegiadas. | Alta |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Servicio principal asignado como propietario del grupo privilegiado
|
Detecta cuándo se asigna una entidad de servicio (identidad no humana) como propietaria de un grupo con roles privilegiados. Asignar roles a grupos en lugar de a usuarios individuales simplifica la gestión del acceso y garantiza niveles de permiso coherentes entre los miembros. Sin embargo, asignar una entidad de servicio como propietaria de un grupo introduce riesgos de seguridad.
Las entidades de servicio que son propietarias de grupos con asignaciones de roles privilegiados pueden modificar la pertenencia al grupo, lo que les permite conceder o revocar el acceso privilegiado. Si una entidad de servicio de este tipo se ve comprometida, un atacante podría añadir su propia identidad al grupo y escalar privilegios dentro del entorno. | Medio |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Credenciales de sombra en un objeto con privilegios
|
Busca usuarios con acceso de escritura al atributo msDS-KeyCredentialLink de usuarios privilegiados y controladores de dominio.
controladores de dominio.
Los usuarios que pueden escribir en estos objetos privilegiados y
Kerberos PKINIT está habilitado pueden elevar privilegios a estos
objetos. | Alta |
|
|
|
Rotación de contraseña de tarjeta inteligente desactivada
|
Comprueba si el atributo mcDS-ExpirePasswordsOnSmartCardOnlyAccounts está desactivado. Este atributo determina si las cuentas de sólo tarjeta inteligente deben seguir calendarios regulares de rotación de contraseñas. Cuando este atributo está desactivado, las cuentas de sólo tarjeta inteligente pueden mantener la misma contraseña indefinidamente, lo que potencialmente puede crear una vulnerabilidad de seguridad. Esta función de seguridad está disponible en dominios que operan en el nivel funcional de Windows Server 2016 o superior. | Bajo |
|
|
|
Se ha añadido una CA raíz sospechosa al inquilino.
|
Se activa cuando se carga un nuevo certificado CA raíz en un inquilino de Entra. Si un atacante añade una CA raíz de confianza a Entra, esto le permite emitir certificados en los que confía el inquilino, lo que puede permitir suplantar a cualquier usuario del inquilino sin conocer su contraseña. | Alta |
-
MITRE ATT&CK:
Evadir la defensa Persistencia Escalada de privilegios
|
|
|
Cambios en el ejecutable SYSVOL
|
Busca modificaciones en los archivos ejecutables dentro de SYSVOL. Los cambios en los archivos ejecutables dentro de SYSVOL deben ser contabilizados o investigados para buscar un potencial debilitamiento de la postura de seguridad. | Bajo |
|
|
|
Cuenta fiduciaria con contraseña antigua
|
Busca cuentas de confianza cuya contraseña no haya cambiado en el último año. Las cuentas de confianza facilitan la autenticación entre las confianzas y deben ser protegidas como las cuentas de usuarios privilegiados. Normalmente, las contraseñas de las cuentas de confianza se rotan automáticamente, por lo que una cuenta de confianza sin un cambio de contraseña reciente podría indicar una cuenta de confianza huérfana. | Bajo |
|
|
|
Cuentas inesperadas en el Grupo de Editores de Cert
|
Comprueba si el grupo de editores de certificados contiene miembros que no se espera que estén allí. Las personas que pertenecen al grupo de editores de certificados tienen la capacidad de introducir una autoridad de certificación (CA) potencialmente dañina en un entorno ADCS en la que confiarán todos los clientes. | Alta |
|
|
|
Un administrador inesperado que puede editar los GPO
|
Busca usuarios principales que no pertenezcan a los conocidos grupos privilegiados integrados y que tengan permisos de edición sobre cualquier objeto de política de grupo (GPO) del dominio. | Medio |
|
|
|
Un director inesperado con permisos de edición en un objeto de política de grupo (GPO) vinculado a un contenedor crítico de Active Directory
|
Identifica entidades inesperadas con permisos de edición en un objeto de política de grupo (GPO) vinculado a un contenedor crítico de Active Directory, como la raíz del dominio, «Sitios» o la unidad organizativa «Controladores de dominio». | Crítica |
|
|
|
Un director inesperado con permiso para editar metadatos en un objeto de política de grupo (GPO) vinculado a un contenedor crítico de Active Directory
|
Detecta usuarios, grupos u ordenadores no autorizados que tengan acceso de escritura a atributos críticos de metadatos de GPO (como rutas de scripts, ejecución de extensiones o filtros WMI) en GPO vinculados a contenedores sensibles de Active Directory, como la raíz del dominio, la unidad organizativa de controladores de dominio o los sitios. | Crítica |
|
|
|
Elemento principal inesperado con acceso de escritura a un atributo de metadatos sensible de GPO
|
Identifica usuarios, grupos u ordenadores no esperados que disponen de permisos de escritura sobre atributos de metadatos críticos de los objetos de política de grupo (GPO) en Active Directory (AD). Analiza los elementos de control de acceso (ACE) con un nivel de detalle elevado para detectar el acceso de escritura a atributos como gPCFileSysPath, gPCMachineExtensionNames, gPCUserExtensionNames y gPCWQLFilter. | Medio |
|
|
|
Propietario no privilegiado de un grupo privilegiado
|
Comprueba la presencia de un propietario sin privilegios en un grupo con funciones privilegiadas. La asignación de funciones a un grupo en lugar de a los propietarios individuales agiliza el proceso de adición o eliminación de usuarios y garantiza permisos coherentes para todos los miembros del grupo. Sin embargo, el propietario del grupo puede añadirse a sí mismo al grupo en cualquier momento, lo que supone un riesgo de escalada de privilegios si el propietario es un mandante sin privilegios. | Alta |
-
MITRE ATT&CK:
Movimiento lateral Persistencia
|
|
|
Una cuenta con privilegios sin proteger puede delegarse
|
Busca administradores que no sean miembros del grupo de seguridad «Usuarios protegidos» y que no estén marcados como aptos para la delegación. El grupo de seguridad «Usuarios protegidos» se introdujo en Active Directory de Server 2012 R2 para minimizar la exposición de las credenciales de las cuentas con privilegios. Como parte de las medidas de protección aplicadas al grupo «Usuarios protegidos», sus miembros no pueden delegar ni mediante delegación sin restricciones ni mediante delegación restringida. | Alta |
-
MITRE ATT&CK:
Movimiento lateral
|
|
|
Miembro del rol privilegiado Entra ID sin resolver
|
Identifica las asignaciones de funciones privilegiadas en las que no se puede encontrar al miembro, ya sea debido a usuarios elegibles eliminados o a relaciones de socios de GDAP ocultas.
Los usuarios elegibles eliminados que permanecen en las asignaciones de funciones pueden crear confusión y complicar la gestión de funciones. Las relaciones de socios de GDAP, aunque legítimas, deben rastrearse y gestionarse adecuadamente para mantener la supervisión de la seguridad. | Bajo |
-
MITRE ATT&CK:
Acceso inicial
|
|
|
Se permite el consentimiento del usuario sin restricciones
|
Comprueba si se permite a los usuarios añadir aplicaciones de editores no verificados. Cuando se permite a los usuarios consentir cualquier aplicación de terceros, existe un riesgo considerable de que una aplicación permitida realice acciones intrusivas o arriesgadas. | Medio |
-
MITRE ATT&CK:
Movimiento lateral Persistencia
|
|
|
Configuración de DNS no segura
|
Busca zonas DNS configuradas con ZONE_UPDATE_UNSECURE, que permite actualizar un registro DSN de forma anónima. Un atacante podría aprovechar esta vulnerabilidad para añadir un nuevo registro DSN o reemplazar un registro DNS existente para falsificar una interfaz de gestión, y luego esperar las conexiones entrantes para robar credenciales. | Alta |
-
MITRE ATT&CK:
Escalada de privilegios
-
ANSSI:
vuln1_dnszone_bad_ prop vuln3_dnszone_bad_prop
|
|
|
Cuenta de usuario con cifrado DES
|
Identifica las cuentas de usuario con el indicador "Usar tipos de cifrado Kerberos DES para esta cuenta". Los atacantes pueden descifrar fácilmente las contraseñas DES utilizando herramientas ampliamente disponibles, lo que hace que estas cuentas estén listas para ser controladas. | Medio |
|
|
|
Cuenta de usuario que utiliza la autenticación mediante tarjeta inteligente con una contraseña antigua
|
Busca cuentas de usuario que estén utilizando autenticación por tarjeta inteligente cuya contraseña no haya cambiado en los últimos 90 días. Un usuario puede utilizar una tarjeta inteligente para autenticarse en lugar de una contraseña. Por defecto, las cuentas con la bandera "Smart Card required" activada tienen desactivada la rotación de contraseñas. Este hash de contraseña estático se utiliza para firmar tickets Kerberos y, si se ve comprometido, puede dar lugar a ataques basados en el robo de credenciales, como los ataques Silver Ticket. | Alta |
|
|
|
Cuenta de usuario sin necesidad de contraseña
|
Identifica las cuentas de usuario en las que no se requiere una contraseña. Las cuentas con controles de acceso débiles son a menudo el objetivo para que puedan moverse lateralmente o ganar una posición persistente en el entorno. | Alta |
|
|
|
Activación del usuario en los últimos 7 días
|
Comprueba si hay usuarios activados en los últimos 7 días. Los usuarios activados tienen la capacidad de autenticarse y realizar acciones dentro del entorno de Okta. Por lo tanto, es importante supervisar y verificar el estado de activación de los usuarios para garantizar que solo las personas autorizadas tengan acceso. | Información |
|
|
|
Se permite el consentimiento del usuario para aplicaciones de riesgo
|
Verifica si existe una política de autorización Entra ID que permita a los usuarios otorgar consentimiento para aplicaciones riesgosas. Para mejorar la seguridad, se recomienda establecer la propiedad allowUserConsentForRiskyApps en false. Esto previene que los usuarios otorguen consentimiento a aplicaciones riesgosas independientemente. | Medio |
|
|
|
Desactivación de usuarios en los últimos 7 días
|
Comprueba si hay usuarios desactivados en los últimos 7 días. Los usuarios desactivados ya no tienen la capacidad de autenticarse y realizar acciones dentro del entorno de Okta. Sin embargo, un atacante puede desactivar intencionalmente a un usuario para interrumpir el funcionamiento del entorno u ocultar sus actividades. Es importante supervisar y verificar el estado de desactivación de los usuarios para asegurarse de que se alinea con los controles de acceso previstos. | Información |
|
|
|
El usuario no está haciendo uso de su función con privilegios
|
Comprueba si hay usuarios que llevan más de 30 días sin activar un rol que se les haya asignado. Los usuarios con privilegios excesivos que no se utilizan amplían la superficie de ataque de una organización. | Bajo |
|
|
|
Usuario o dispositivo inactivo durante más de 90 días
|
Comprueba si hay usuarios o dispositivos que no hayan iniciado sesión durante los últimos 90 días. Es probable que los usuarios o dispositivos que han estado inactivos durante 90 días o más ya no estén en uso y dejen una puerta abierta al inquilino de Azure AD. | Medio |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Contraseña de usuario almacenada con cifrado reversible
|
Identifica las cuentas con el indicador "ENCRYPTED_TEXT_PWD_ALLOWED" habilitado. Los atacantes pueden ser capaces de obtener las contraseñas de estos usuarios a partir del texto cifrado y tomar el control de estas cuentas. | Medio |
-
MITRE ATT&CK:
Acceso a las credenciales
-
ANSSI:
vuln3_reversible_password
-
MITRE D3FEND:
Endurecer - Política de contraseñas fuertes
|
|
|
Usuario con contraseña antigua
|
Busca cuentas de usuario cuya contraseña no haya sido cambiada después de 180 días. Estas cuentas podrían ser objeto de ataques para adivinar la contraseña. | Bajo |
|
|
|
Usuario con la opción «Contraseña sin caducidad»
|
Identifica las cuentas de usuario en las que el indicador "La contraseña no caduca nunca" está activado. Estas cuentas pueden ser objetivos potenciales de ataques de fuerza bruta a las contraseñas. | Información |
|
|
|
Usuario con permiso para configurar la cuenta de confianza del servidor
|
Comprueba los permisos del controlador de dominio NC para ver si el indicador Server_Trust_Account está establecido en los objetos del equipo. Un atacante que pueda sembrar usuarios autenticados con estos permisos puede utilizar su acceso para promover cualquier equipo que controle al estado de Controlador de Dominio, permitiendo la escalada de privilegios a los servicios de AD y llevando a cabo ataques de acceso a credenciales como DCSync. | Crítica |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Usuario con preguntas de seguridad activadas
|
Comprueba si se están utilizando preguntas de seguridad para el restablecimiento de contraseña de autoservicio de Entra. Las preguntas de seguridad, también conocidas como autenticación basada en el conocimiento (KBA), pueden utilizarse para flujos de autenticación durante un escenario de restablecimiento de contraseña de autoservicio. Las organizaciones que confían en KBA como medio de autenticación para el restablecimiento de contraseñas de autoservicio corren un mayor riesgo de que un atacante lo utilice para comprometer a los usuarios. | Bajo |
|
|
|
Usuario con SPN definido
|
Ofrece una forma de realizar un inventario visual de todas las cuentas de usuario que tienen definidos nombres de entidad de servicio (SPN).
Por lo general, los SPN solo se definen para servicios «Kerberizados»; otras cuentas con un SPN pueden ser motivo de preocupación. | Bajo |
|
|
|
Usuario con el atributo «userPassword»
|
Comprueba si el atributo userPassword existe en las cuentas. El atributo userPassword guarda las contraseñas en texto claro y se puede consultar mediante LDAP, que puede exponer potencialmente las contraseñas.
| Medio |
|
|
|
Usuario con el atributo «userPassword»
|
Comprueba si el atributo «userPassword» existe en las cuentas.
El atributo «userPassword» almacena las contraseñas en texto sin cifrar y puede consultarse mediante LDAP, lo que podría dar lugar a la divulgación de las contraseñas. | Medio |
|
|
|
Usuario con autenticación multifactorial (MFA) débil o sin ella
|
Comprueba el registro de todos los usuarios para la autenticación multifactor (MFA) y los métodos configurados. Debido a la falta de medidas de seguridad uniformes en las redes móviles, los SMS y la voz se consideran menos seguros que las aplicaciones móviles y FIDO. Un usuario malintencionado puede falsificar códigos y engañar a los usuarios para que proporcionen la autenticación. | Medio |
-
MITRE ATT&CK:
Acceso inicial Movimiento lateral
|
|
|
Usuarios y ordenadores con IDs de grupos primarios no predeterminados
|
Devuelve una lista de todos los usuarios y equipos cuyos ID de grupo primario (PGID) no son los predeterminados para los usuarios y equipos del dominio. La modificación del ID de grupo primario es una forma sigilosa para que un atacante escale privilegios sin activar la auditoría de atributos de miembros para los cambios de pertenencia al grupo. | Bajo |
|
|
|
Los usuarios pueden crear grupos de seguridad
|
Comprueba si los usuarios que no son administradores pueden crear grupos de seguridad. Por defecto, los usuarios pueden crear grupos de seguridad en el inquilino Entra. Entra ID no requiere nombres de grupo únicos, y un atacante puede crear grupos de seguridad maliciosos con nombres duplicados de grupos válidos, en un esfuerzo para que al grupo malicioso se le asignen más privilegios. | Medio |
|
|
|
Usuarios con la preautenticación Kerberos desactivada
|
Busca usuarios con la preautenticación Kerberos desactivada. Estos usuarios pueden ser objetivo de ataques ASREP-Roasting (como "Kerberoasting"). | Medio |
-
MITRE ATT&CK:
Acceso a las credenciales
-
ANSSI:
vuln1_kerberos_prop- erties_preauth_priv vuln2_kerberos_prop- erties_preauth
|
|
|
Usuarios con ServicePrincipalName definido
|
Proporciona una forma de inventariar visualmente todas las cuentas de usuario que tienen definidos ServicePrincipalNames (SPN). Generalmente, los SPN solo se definen para servicios "Kerberizados"; otras cuentas con un SPN pueden ser motivo de preocupación. | Bajo |
|
|
|
Usuarios sin autenticación multifactor (AMF)
|
Comprueba todos los usuarios para identificar a aquellos que no se han registrado para la autenticación multifactor (MFA). Los usuarios que no están configurados con MFA corren un alto riesgo de verse comprometidos. Esto supone una amenaza significativa no sólo para el usuario, sino también para todo el entorno. | Alta |
-
MITRE ATT&CK:
Acceso inicial
|
|
|
Acceso directo modificable en GPO
|
Busca accesos directos en los objetos de directiva de grupo (GPO) en los que puedan escribir usuarios con pocos privilegios. Cuando los usuarios con pocos privilegios pueden modificar los accesos directos de los GPO, pueden producirse riesgos de seguridad y modificaciones no autorizadas. | Alta |
|
|
|
Acceso de escritura a RBCD en DC
|
Busca usuarios que no estén en los grupos de administradores de dominio, administradores de empresa o administradores incorporados que tengan acceso de escritura en la delegación restringida basada en recursos (RBCD) para los controladores de dominio. Los atacantes que pueden obtener acceso de escritura a RBCD para un recurso pueden hacer que el recurso se haga pasar por cualquier usuario (excepto cuando la delegación está explícitamente desautorizada). | Alta |
|
|
|
Acceso de escritura a RBCD en la cuenta krbtgt
|
Busca usuarios que no estén en los grupos Domain Admins, Enterprise Admins o Built-in Admins que tengan acceso de escritura en Resource-Based Constrained Delegation (RBCD) para la cuenta krbtgt. Los atacantes que pueden obtener acceso de escritura a RBCD para un recurso pueden hacer que el recurso se haga pasar por cualquier usuario (excepto cuando la delegación está explícitamente desautorizada). | Alta |
|
|
|
Vulnerabilidad de Zerologon
|
Busca la vulnerabilidad de seguridad CVE-2020-1472, que fue parcheada por Microsoft en agosto de 2020. Sin este parche, un atacante no autentificado puede explotar CVE-2020-1472 para elevar sus privilegios y obtener acceso administrativo en el dominio. | Crítica |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
