|
Restablecimiento de la contraseña de la cuenta de sincronización de AAD Connect
|
Comprueba las políticas de acceso condicional que tienen la función de evaluación de acceso continuo desactivada. La función Evaluación de acceso continuo permite revocar el token de acceso a las aplicaciones de Microsoft y limitar el tiempo que un atacante tiene acceso a los datos de la empresa. | Advertencia |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Usuarios con privilegios en AAD que también tienen privilegios en AD
|
Comprueba si hay usuarios con privilegios en Azure AD que también lo sean en AD local. Si se pone en peligro una cuenta con privilegios tanto en AD como en AAD, se pueden poner en peligro ambos entornos. | Crítica |
|
|
|
Actualización anormal de la contraseña
|
Busca cuentas de usuario con un cambio reciente de pwdLastSet sin la correspondiente replicación de la contraseña. Si la opción "El usuario debe cambiar la contraseña en el siguiente inicio de sesión" está activada y luego se desactiva, podría indicar un error administrativo o un intento de eludir la política de contraseñas de la organización. | Advertencia |
|
|
|
Cuentas con altSecurityIdentities configuradas
|
Comprueba si hay cuentas con el atributo altSecurityIdentities configurado. El atributo altSecurityIdentities es un atributo multivalor utilizado para crear asignaciones para certificados X.509 y cuentas Kerberos externas. Cuando se configura, es posible añadir valores que esencialmente suplantan la identidad de esa cuenta. | Advertencia |
-
MITRE ATT&CK:
Escalada de privilegios
-
ANSSI:
vuln1_delegación_a2d2
|
|
|
Cuentas con Delegación Restringida configuradas en SPN fantasma
|
Busca cuentas que tengan Delegación Restringida configurada para SPN fantasma. Cuando los equipos son dados de baja, su configuración de delegación no siempre se limpia. Dicha delegación podría permitir a un atacante que tenga privilegios para escribir en el atributo ServicePrincipalName de otra cuenta de servicio, escalar privilegios en esos servicios. | Advertencia |
-
MITRE ATT&CK:
Escalada de privilegios
-
ANSSI:
vuln1_delegación_a2d2
|
|
|
Cuentas con delegación restringida configuradas en krbtgt
|
Busca cuentas que tengan configurada la Delegación Restringida al servicio krbtgt. La creación de una delegación de Kerberos en la cuenta krbtgt permite a ese principio (usuario u ordenador) generar una solicitud de Servicio de Concesión de Ticket(TGS) a la cuenta krbtgt como cualquier usuario, lo que tiene el efecto de generar un Ticket de Concesión de Tickets (TGT) similar a un Golden Ticket. | Crítica |
|
|
|
Autoridad de certificación AD con inscripción web (PetitPotam y ESC8)
|
Identifica los servidores AD CS del dominio que aceptan la autenticación NTLM para Web Enrollment. Los atacantes pueden abusar de un fallo en AD CS Web Enrollment que permite ataques de retransmisión NTLM para autenticarse como usuario con privilegios. | Crítica |
|
|
|
Objetos AD creados en los últimos 10 días
|
Busca cualquier objeto de AD que haya sido creado recientemente. Permite detectar cuentas desconocidas o ilegítimas. Está pensado para ser utilizado en la búsqueda de amenazas, el análisis posterior al ataque o la confirmación de que el sistema ha sido comprometido. | Información |
|
|
|
Usuarios con privilegios de AD sincronizados con AAD
|
Comprueba los usuarios privilegiados de AD que están sincronizados con AAD. Cuando un usuario privilegiado de AD está sincronizado con AAD, un compromiso del usuario de AAD puede resultar en que el entorno local también se vea comprometido. | Advertencia |
|
|
|
Las unidades administrativas no se utilizan
|
Comprueba el uso de unidades administrativas en el sistema Entra
tenant. Las unidades administrativas son una característica de Entra ID que permite
restringir el alcance administrativo de los usuarios privilegiados. Las organizaciones que utilizan unidades administrativas pueden tener más granularidad en la asignación de roles.
| Información |
-
MITRE ATT&CK:
Movimiento lateral
|
|
|
Administradores con contraseñas antiguas
|
Busca las cuentas de administrador cuya contraseña no se ha cambiado en más de 180 días. Si las contraseñas de las cuentas de administrador no se cambian con regularidad, estas cuentas podrían ser objeto de ataques para descubrir la contraseña. | Advertencia |
|
|
|
Acceso anónimo a Active Directory habilitado
|
Busca la presencia del indicador que permite el acceso anónimo. El acceso anónimo permitiría a los usuarios no autentificados consultar AD. | Crítica |
|
|
|
Acceso anónimo de NSPI a AD habilitado
|
Detecta cuando el acceso anónimo a la interfaz del proveedor de servicios de nombres (NSPI) está activado. Permite enlaces anónimos basados en RPC a AD. NSPI rara vez está habilitado, por lo que si se encuentra habilitado debería ser motivo de preocupación. | Advertencia |
|
|
|
Aplicación de secretos y certificados caducados
|
Comprueba si hay certificados o secretos que hayan alcanzado su fecha de caducidad. Este indicador no indica un riesgo directo o probabilidad de compromiso. | Información |
|
|
|
Los contextos adicionales de Nombre de aplicación y Ubicación geográfica están desactivados en MFA
|
Comprueba si los contextos adicionales de nombre de aplicación y ubicación geográfica están desactivados en la autenticación multifactor (MFA). Habilitar los contextos adicionales de nombre de aplicación y ubicación geográfica en MFA proporciona un nivel adicional de seguridad para el inicio de sesión de un usuario. | Advertencia |
|
|
|
Cuenta de administrador de dominio incorporada utilizada en las últimas dos semanas
|
Comprueba si el lastLogonTimestamp de la cuenta de administrador de dominio integrada se ha actualizado recientemente. Podría indicar que el usuario ha sido comprometido. | Advertencia |
|
|
|
Cuenta de administrador de dominio incorporada con contraseña antigua (180 días)
|
Comprueba si el atributo pwdLastSet de la cuenta de administrador de dominio incorporada se ha cambiado en los últimos 180 días. Si esta contraseña no se cambia con regularidad, esta cuenta puede ser vulnerable a los ataques de fuerza bruta a las contraseñas. | Información |
|
|
|
La cuenta de invitados integrada está habilitada
|
Comprueba que la cuenta de "invitado" de AD integrada está desactivada. Una cuenta de invitado habilitada permite el acceso sin contraseña al dominio, lo que podría presentar un riesgo de seguridad. | Información |
|
|
|
Plantillas de certificados que permiten a los solicitantes especificar un subjectAltName
|
Comprueba si las plantillas de certificados permiten a los solicitantes especificar un subjectAltName en la CSR. Cuando las plantillas de certificados permiten a los solicitantes especificar un subjectAltName en la CSR, el resultado es que pueden solicitar un certificado como cualquier persona (por ejemplo, un administrador de dominio). Cuando esto se combina con un EKU de autenticación presente en la plantilla de certificado, puede llegar a ser extremadamente peligroso. | Crítica |
|
|
|
Plantillas de certificados con tres o más configuraciones no seguras
|
Comprueba si las plantillas de certificados del bosque tienen un mínimo de tres configuraciones no seguras: Aprobación del gestor desactivada, No se requieren firmas autorizadas, SAN activado, EKU de autenticación presente. Cada una de estas configuraciones puede ser aprovechada por los adversarios para obtener acceso. | Advertencia |
|
|
|
Persistencia de la autenticación basada en certificados
|
Evalúa la presencia de roles y permisos específicos de Entra ID Microsoft graph app, que cuando se combinan pueden permitir a un usuario establecer persistencia a través de autenticación basada en certificado (CBA). | Advertencia |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Cambios en los especificadores de visualización de AD en los últimos 90 días
|
Busca los cambios recientes realizados en el atributo adminContextMenu en los especificadores de visualización de AD. La modificación de este atributo puede permitir a los atacantes utilizar los menús contextuales para que los usuarios ejecuten código arbitrario. | Información |
-
MITRE ATT&CK:
Evadir la defensa Ejecución
|
|
|
Cambios en la política de dominios por defecto o en la política de controladores de dominio por defecto en los últimos 7 días
|
Busca cambios recientes en los GPOs de Política de Dominio por Defecto y Política de Controladores de Dominio por Defecto. Estos GPOs controlan las configuraciones de seguridad de todo el dominio y de los controladores de dominio y pueden ser mal utilizados para obtener acceso privilegiado a AD. | Información |
-
MITRE ATT&CK:
Movimiento lateral Persistencia
|
|
|
Cambios en el esquema del descriptor de seguridad por defecto en los últimos 90 días
|
Detecta los cambios recientes de atributos del esquema realizados en el descriptor de seguridad por defecto. Si un atacante consigue acceder a la instancia del esquema en un bosque, cualquier cambio realizado puede propagarse a los objetos recién creados en AD, debilitando potencialmente la postura de seguridad de AD. | Advertencia |
|
|
|
Cambios en los permisos de lectura de MS LAPS
|
Busca permisos en las cuentas de los ordenadores que podrían permitir la exposición inadvertida de las cuentas de administrador local en entornos que utilizan Microsoft LAPS. Los atacantes pueden utilizar esta capacidad para moverse lateralmente a través de un dominio utilizando cuentas de administrador local comprometidas. | Información |
|
|
|
Cambios en la afilicaión del grupo de acceso compatible con PreWindows 2000
|
Busca cambios en el grupo incorporado "Acceso compatible con Windows 2000". Es mejor asegurarse de que este grupo no contenga los grupos "Anonymous Logon" o "Everyone". | Advertencia |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Cambios en la pertenencia a grupos privilegiados en los últimos 7 días
|
Busca cambios recientes en los grupos con privilegios incorporados. Podría indicar intentos de escalar privilegios. | Advertencia |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Cambios en la pertenencia a grupos sin privilegios en los últimos 7 días
|
Busca grupos sin privilegios con cambios de pertenencia realizados durante los últimos 7 días. Los cambios de pertenencia a grupos sin privilegios pueden dar acceso a recursos que utilizan privilegios de grupo. | Advertencia |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Comprobar si los invitados tienen permiso para invitar a otros invitados
|
Compruebe los permisos de invitación de invitados. No se recomienda permitir que los invitados envíen invitaciones.
Para evitar que invitados no autorizados inviten a otras personas a la organización, considere la posibilidad de actualizar los "Ajustes de invitación de invitados" para restringir esta capacidad. | Advertencia |
-
MITRE ATT&CK:
Movimiento lateral
|
|
|
Comprobación de los permisos de riesgo de la API concedidos a los responsables del servicio de la aplicación
|
Comprueba los permisos de la API que podrían suponer un riesgo si no están planificados y apruebados adecuadamente. Los administradores de aplicaciones maliciosos podrían utilizar estos permisos para concederse privilegios administrativos a sí mismos o a otros. | Advertencia |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Comprobar si hay usuarios con una MFA débil o sin ella
|
Comprueba el registro de todos los usuarios para la autenticación multifactor (MFA) y los métodos configurados. Debido a la falta de medidas de seguridad uniformes en las redes móviles, los SMS y la voz se consideran menos seguros que las aplicaciones móviles y FIDO. Un usuario malintencionado puede falsificar códigos y engañar a los usuarios para que proporcionen la autenticación. | Advertencia |
-
MITRE ATT&CK:
Acceso inicial Movimiento lateral
|
|
|
Comprobar si se permite la autenticación heredada
|
Comprueba si la autenticación heredada está bloqueada, ya sea mediante políticas de acceso condicional o valores predeterminados de seguridad. Permitir la autenticación heredada aumenta el riesgo de que un atacante inicie sesión utilizando credenciales previamente comprometidas. | Información |
|
|
|
Toma de posesión de cuentas de ordenador mediante la delegación restringida basada en recursos de Kerberos (RBCD)
|
Busca el atributo msDS-Allowed-ToActOnBehalfOfOtherIdentity en los objetos informáticos. Los atacantes podrían utilizar la configuración de Kerberos RBCD para escalar privilegios a través de un equipo que controlen si ese equipo tiene delegación en el sistema objetivo. | Información |
|
|
|
Cuentas de ordenador en grupos privilegiados
|
Busca cuentas de ordenador que sean miembros de un grupo con privilegios de dominio. Si una cuenta de ordenador es miembro del grupo privilegiado del dominio, entonces cualquiera que comprometa esa cuenta de ordenador puede actuar como miembro de ese grupo. | Advertencia |
|
|
|
Cuentas de ordenador o usuario con SPN que tienen delegación no restringida
|
Busca cuentas de equipo o usuario con SPN que sean
de confianza para la delegación Kerberos sin restricciones. Estas cuentas
cuentas almacenan los TGT Kerberos de los usuarios localmente para autenticar
a otros sistemas en su nombre.
Los ordenadores y usuarios de confianza con delegación
son blanco fácil de ataques basados en Kerberos.
| Advertencia |
|
|
|
Ordenadores con versiones antiguas del sistema operativo
|
Busca cuentas de equipos que ejecuten versiones de Windows anteriores a Windows Server 2012 R2 y Windows 8.1. Los ordenadores que ejecutan versiones del sistema operativo más antiguas y no soportadas podrían ser el objetivo de vulnerabilidades conocidas o no parcheadas. | Información |
|
|
|
Ordenadores cuya contraseña se estableció por última vez hace más de 90 días
|
Busca cuentas informáticas que no hayan rotado automáticamente sus contraseñas. Las cuentas informáticas deben rotar automáticamente sus contraseñas cada 30 días; los objetos que no lo hagan podrían mostrar indicios de manipulación. | Advertencia |
-
MITRE ATT&CK:
Acceso a las credenciales
-
ANSSI:
vuln2_contraseña_cambio_servidor_no_cambio_90
-
MITRE D3FEND:
Endurecer - Política de contraseñas fuertes
|
|
|
Las políticas de acceso condicional contienen direcciones IP privadas
|
Comprueba si alguna política de acceso condicional contiene ubicaciones con nombre con direcciones IP privadas. Tener direcciones IP privadas en ubicaciones con nombre asociadas con políticas de acceso condicional podría dar lugar a una situación de seguridad no deseada. | Advertencia |
-
MITRE ATT&CK:
Acceso inicial
|
|
|
Política de acceso condicional que desactiva la persistencia de tokens de administrador
|
Busca políticas de acceso condicional que deshabiliten la persistencia de tokens para usuarios con roles de administrador y que tengan una frecuencia de inicio de sesión menor o igual a nueve horas. Cuando un inicio de sesión de administrador tiene su token almacenado en caché en el cliente, es vulnerable a un ataque relacionado con un token de actualización principal. | Advertencia |
|
|
|
Política de acceso condicional que no exige un cambio de contraseña a los usuarios de alto riesgo
|
Comprueba si existe una política de acceso condicional que requiera un cambio de contraseña si la API de riesgo de usuario de Azure AD Identity Protection determina que el usuario es de alto riesgo. Un riesgo de usuario alto representa una alta probabilidad de que una cuenta se haya visto comprometida. | Advertencia |
|
|
|
Política de acceso condicional que no requiere MFA cuando se ha identificado el riesgo de inicio de sesión
|
Comprueba si existe una política de acceso condicional que requiera MFA si la API de riesgo de inicio de sesión de Azure AD Identity Protection determina que el riesgo de solicitud de autenticación es medio o alto. Un riesgo de inicio de sesión medio o alto representa una probabilidad de media a alta de que se haya realizado una solicitud de autenticación no autorizada. | Advertencia |
|
|
|
Política de acceso condicional con la evaluación de acceso continuo desactivada
|
Comprueba las políticas de acceso condicional que tienen la función de evaluación de acceso continuo desactivada. La función Evaluación de acceso continuo permite revocar el token de acceso a las aplicaciones de Microsoft y limitar el tiempo que un atacante tiene acceso a los datos de la empresa. | Advertencia |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Las vías de control peligrosas dejan al descubierto los contenedores de certificados
|
Busca entidades de seguridad no predeterminadas con permisos en el contenedor NTAuthCertificates, que contiene los certificados de CA intermedios utilizados para autenticarse en Active Directory.
Los usuarios sin privilegios con permisos en el contenedor NTAuthCerticates tienen la capacidad de escalar su acceso y hacer que el dominio confíe en una CA falsa.
| Advertencia |
|
|
|
Las vías de control peligrosas ponen en riesgo las plantillas de los certificados
|
Busca entidades de seguridad no predeterminadas con capacidad para escribir propiedades en una plantilla de certificado. Los usuarios sin privilegios con propiedades de escritura en plantillas de certificados tienen la capacidad de escalar su acceso y crear certificados vulnerables para inscribirse. | Advertencia |
-
MITRE ATT&CK:
Acceso a las credenciales
-
ANSSI:
vuln1_adcs_template_ control
-
MITRE D3FEND:
Detectar - Análisis de Certificados
|
|
|
Ruta peligrosa del script de inicio de sesión de GPO
|
Busca rutas de scripts de inicio de sesión a scripts que no existen y donde un usuario con pocos privilegios tiene permisos en su carpeta padre. También busca rutas de scripts de inicio de sesión a scripts existentes que den a los usuarios con menos privilegios permisos para modificar el script. Mediante la inserción de un nuevo script o la modificación de un script existente que otorgue a un usuario normal permiso para modificar el script o acceso a su carpeta padre, un atacante puede ejecutar código de forma remota en una mayor parte de la red sin privilegios especiales. | Advertencia |
|
|
|
Conjunto de Atributos de Confianza Peligrosos
|
Identifica los fideicomisos con uno de los siguientes atributos establecidos: TRUST_ATTRIBUTE_ CROSS_ORGANIZATION_ENABLE_TGT_DELEGATION o TRUST_ATTRIBUTE_ PIM_TRUST. La configuración de estos atributos permitirá delegar un vale Kerberos o reducirá la protección que proporciona el filtrado SID. | Advertencia |
|
|
|
Derechos de usuario peligrosos concedidos por GPO
|
Busca usuarios sin privilegios a los que se conceden permisos elevados a través de GPO. Un atacante puede explotar potencialmente los derechos de usuario otorgados por un GPO para obtener acceso a los sistemas, robar información confidencial o causar otros tipos de daños. | Advertencia |
|
|
|
El propietario del controlador de dominio no es un administrador
|
Busca las cuentas de equipo del controlador de dominio cuyo propietario no sea un administrador de dominio, un administrador de empresa o una cuenta de administrador integrada. Obtener el control de las cuentas de los equipos DC permite una vía fácil para comprometer el dominio. | Advertencia |
|
|
|
Controladores de dominio en un estado incoherente
|
Busca controladores de dominio que puedan estar en un estado incoherente, lo que indica un posible DC falso o no funcional. Los equipos ilegítimos que actúan como DCs podrían indicar que alguien ha comprometido el entorno (por ejemplo, utilizando DCShadow o un ataque similar de suplantación de DC). | Información |
|
|
|
Controladores de dominio que no se han autenticado en el dominio durante más de 45 días
|
Busca controladores de dominio que no se hayan autenticado en el dominio en más de 45 días. La falta de autenticación en el dominio revela máquinas no sincronizadas. Si un atacante compromete un DC desconectado y descifra las credenciales o se vuelve a conectar al dominio, podría introducir cambios no deseados en Active Directory. | Advertencia |
-
MITRE ATT&CK:
Acceso a las credenciales Escalada de privilegios
-
ANSSI:
vuln1_contraseña_cambio_inactivo_dc
-
MITRE D3FEND:
Aislar - Aislamiento de la ejecución
|
|
|
Controladores de dominio con contraseñas antiguas
|
Busca cuentas de máquina de controlador de dominio cuya contraseña no se haya restablecido en más de 45 días. Las cuentas de máquina con contraseñas antiguas podrían indicar un DC que ya no funciona en el dominio. Además, los DC con contraseñas de cuentas de máquina antiguas podrían ser tomados más fácilmente. | Información |
|
|
|
Controladores de dominio con Delegación Restringida Basada en Recursos (RBCD) habilitada
|
Detecta una configuración que concede ciertas cuentas con delegación completa a los controladores de dominio. | Advertencia |
|
|
|
Confianza en un dominio de terceros sin cuarentena
|
Busca las confianzas de bosque salientes que tienen la bandera de Cuarentena establecida en falso. Un atacante que haya comprometido el dominio remoto puede crear una cuenta "suplantable" para obtener acceso a todos los recursos del dominio local. Si se expone una ruta de control peligrosa, cualquier cuenta "falsificable" también podría escalar sus privilegios hasta los de administrador de dominio y comprometer todo el bosque". | Advertencia |
|
|
|
Dominios con niveles funcionales obsoletos
|
Busca dominios de AD que tengan un nivel funcional de dominio establecido en Windows Server 2012 o inferior. Los niveles funcionales inferiores implican que no se pueden aprovechar las nuevas funciones de seguridad disponibles en AD. | Información |
|
|
|
Cuentas de administrador habilitadas que están inactivas
|
Busca cuentas de administrador que estén habilitadas, pero que no hayan iniciado sesión en los últimos 90 días. Los atacantes que puedan comprometer estas cuentas podrán operar sin ser detectados. | Advertencia |
-
MITRE ATT&CK:
Acceso a las credenciales Escalada de privilegios
-
ANSSI:
vuln1_contraseña_cambio_priv vuln1_user_accounts_ dormant
-
MITRE D3FEND:
Desalojar - Bloqueo de la cuenta
|
|
|
Administradores de claves de empresa con acceso total al dominio
|
Busca pruebas de un error en ciertas versiones de Windows Server 2016 Adprep que concedía acceso indebido al grupo Enterprise Key Admins. Este problema se corrigió en una versión posterior de Windows 2016; sin embargo, si no se ha aplicado esta corrección, este error concede a este grupo la capacidad de replicar todos los cambios de AD (ataque de DCSync). | Advertencia |
|
|
|
El inquilino Entra es susceptible de un ataque de Otorgamiento de Consentimiento Oculto
|
Verifica los permisos y configuraciones de la aplicación para determinar si el inquilino Entra es susceptible a ataques de Otorgamiento de Consentimiento Oculto.
Un ataque de concesión de consentimiento oculto es un tipo de ataque de suplantación de identidad en el que un actor malicioso que controla una aplicación con permisos Directory.ReadWrite.All obtiene acceso a una aplicación y aprovecha los permisos concedidos para escalar sus privilegios. | Advertencia |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Administradores efímeros
|
Busca usuarios que se hayan añadido y eliminado de un grupo de administradores en un periodo de 48 horas. Estas cuentas de corta duración pueden indicar actividad maliciosa. | Información |
|
|
|
Pruebas del ataque Mimikatz DCShadow
|
Busca evidencias de que se ha utilizado un equipo para introducir cambios arbitrarios en el AD utilizando un controlador de dominio "falso". Estos cambios eluden el registro de eventos de seguridad y no pueden ser detectados por las herramientas de monitorización estándar. | Crítica |
|
|
|
El FGPP no se aplica al Grupo
|
Busca la política de contraseñas de grano fino (FGPP) dirigida a un grupo Universal o Local de Dominio. Al cambiar la configuración del ámbito de un grupo de Global a Universal o Local de dominio, la configuración de FGPP deja de aplicarse a ese grupo, lo que reduce sus controles de seguridad de contraseñas. | Advertencia |
|
|
|
Los principios de seguridad exterior en el Grupo Privilegiado
|
Busca miembros de grupos protegidos incorporados que sean Foreign Security Principals. Se debe tener especial cuidado al incluir cuentas de otros dominios como miembros de grupos privilegiados. Los Foreign Security Principals no tienen el atributo adminCount y por lo tanto pueden no ser detectados por algunas herramientas de auditoría de seguridad. Además, un atacante puede añadir una cuenta privilegiada e intentar ocultarla utilizando este método. | Advertencia |
|
|
|
El bosque contiene más de 50 cuentas privilegiadas
|
Cuenta el número de cuentas privilegiadas definidas en el bosque. En general, cuantas más cuentas privilegiadas tenga, más oportunidades tendrán los atacantes de comprometer una de estas cuentas. | Advertencia |
-
MITRE ATT&CK:
Escalada de privilegios Reconocimiento
-
ANSSI:
vuln1_privileged_members
|
|
|
Administradores globales que han iniciado sesión en los últimos 14 días
|
Busca Administradores Globales que hayan iniciado sesión durante los últimos 14 días. Los usuarios que tienen el rol de Administrador Global son los usuarios más privilegiados en Entra ID. Un atacante encontrará a los usuarios con el rol de Administrador Global como de alto valor, y un Administrador Global comprometido puede llevar a varios ataques contra la organización. | Advertencia |
|
|
|
gMSA no utilizado
|
Comprueba si hay objetos de cuentas de servicio administradas por grupo (gMSA) habilitados en el dominio. La función gMSA de Windows Server 2016 permite la rotación automática de las contraseñas de las cuentas de servicio, lo que las hace mucho más difíciles de vulnerar para los atacantes. | Información |
|
|
|
Objetos gMSA con contraseñas antiguas
|
Busca cuentas de servicios gestionados por grupo (gMSA) que no hayan rotado automáticamente sus contraseñas. Los objetos que no rotan sus contraseñas con regularidad podrían mostrar indicios de manipulación. | Advertencia |
|
|
|
Delegación de enlaces GPO a nivel de sitio AD
|
Busca principios sin privilegios que tengan permisos de escritura en el atributo GPLink o Write DACL/Write Owner en el objeto. Cuando los usuarios sin privilegios pueden vincular los GPO en el nivel de sitio de AD, tienen la capacidad de realizar cambios en los controladores de dominio. Pueden potencialmente elevar el acceso y cambiar la postura de seguridad de todo el dominio. | Advertencia |
|
|
|
Delegación de enlace de GPO en el nivel de OU del controlador de dominio
|
Busca principios sin privilegios que tengan permisos de escritura en el atributo GPLink o Write DAC/Write Owner en el objeto. Cuando los usuarios sin privilegios pueden vincular los GPO en el nivel de OU del controlador de dominio, tienen la capacidad de realizar cambios en los controladores de dominio. Pueden potencialmente elevar el acceso y cambiar la postura de seguridad de todo el dominio. | Advertencia |
|
|
|
Delegación de enlaces GPO a nivel de dominio
|
Busca principios sin privilegios que tengan permisos de escritura en el atributo GPLink o Write DACL/Write Owner en el objeto. Cuando los usuarios sin privilegios pueden vincular los GPO a nivel de dominio, tienen la capacidad de realizar cambios en todos los usuarios y equipos del dominio. Pueden potencialmente elevar el acceso y cambiar la postura de seguridad de todo el dominio. | Advertencia |
|
|
|
GPO Almacenamiento Hash LM débil activado
|
Detecta cuando la configuración "Seguridad de red: No almacenar el valor hash de LAN Manager en el siguiente cambio de contraseña" está desactivada en el sistema operativo Windows. Cuando esta configuración está desactivada, los hashes de LAN Manager (LM), que son vulnerables a las técnicas de descifrado de contraseñas, se siguen almacenando durante los cambios de contraseña. La activación de esta opción refuerza la seguridad al evitar el almacenamiento de hashes LM débiles e incitar al uso de mecanismos de almacenamiento de contraseñas más potentes. | Advertencia |
|
|
|
GPO con tareas programadas configuradas
|
Cuando una tarea programada lanza un ejecutable, este indicador comprueba si los usuarios con privilegios bajos tienen permisos para modificar los GPO. Las tareas programadas configuradas a través de políticas de grupo pueden ser arriesgadas si no se configuran correctamente. Pueden causar problemas no deseados y posibles vulnerabilidades de seguridad.
| Información |
|
|
|
Cuentas de invitados que han estado inactivas durante más de 30 días
|
Comprueba las cuentas de invitados que no han iniciado sesión, utilizando un inicio de sesión interactivo o no interactivo, durante los últimos 30 días. Las cuentas invitadas inactivas dejan una puerta abierta a su inquilino de Azure. | Advertencia |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Invitaciones de invitados no aceptadas en los últimos 30 días
|
Comprueba si hay invitaciones de invitados que no hayan sido aceptadas en los 30 días posteriores a la invitación. Las invitaciones antiguas suponen un riesgo para la seguridad y deben eliminarse. | Advertencia |
|
|
|
Los usuarios invitados no están restringidos
|
Comprueba que los usuarios invitados están restringidos en el tenant. Los atacantes pueden utilizar usuarios invitados sin restricciones para realizar la enumeración de usuarios y grupos en el tenant. | Información |
-
MITRE ATT&CK:
Reconocimiento
|
|
|
Funciones personalizadas con privilegios elevados
|
Comprueba si hay funciones personalizadas que concedan privilegios elevados para permitir a un usuario realizar acciones en las contraseñas y MFA de otros usuarios. Las funciones personalizadas conceden privilegios elevados y pueden suponer un riesgo de seguridad importante si no se gestionan correctamente. | Advertencia |
|
|
|
Legado habilitado en el objeto AdminSDHolder
|
Comprueba si se ha activado el legado en la lista de control de acceso (ACL) del objeto AdminSDHolder, lo que podría indicar un intento de modificar los permisos de los objetos privilegiados que están sujetos a AdminSDHolder (por ejemplo, usuarios o grupos con adminCount=1). Los cambios en el objeto AdminSDHolder son muy poco frecuentes. Los administradores deben saber que se ha realizado un cambio y ser capaces de articular la razón del mismo. Si el cambio no fue intencional, la probabilidad de compromiso es muy alta. | Crítica |
-
MITRE ATT&CK:
Evadir la defensa Escalada de privilegios
|
|
|
Cuenta krbtgt de Kerberos con contraseña antigua
|
Busca una cuenta de usuario krbtgt cuya contraseña no haya cambiado en los últimos 180 días. Si la contraseña de la cuenta krbtgt está comprometida, se pueden realizar ataques Golden Ticket para obtener acceso a cualquier recurso en un dominio AD. | Advertencia |
|
|
|
Delegación de transición del protocolo Kerberos configurada
|
Busca servicios que hayan sido configurados para permitir la transición del protocolo Kerberos, que básicamente dice que un servicio delegado puede utilizar cualquier protocolo de autenticación disponible. Los servicios comprometidos pueden reducir la calidad de su protocolo de autenticación que es más fácil de comprometer (por ejemplo, NTLM). | Advertencia |
|
|
|
Cuenta krbtgt con la Delegación Limitada por Recursos (RBCD) activada
|
Busca una cuenta krbtgt que tenga definida una Delegación Restringida Basada en Recursos (RBCD). Normalmente, las delegaciones no deberían crearse en la cuenta krbtgt; si se encuentran, podrían representar un riesgo significativo y deberían mitigarse rápidamente. | Crítica |
-
MITRE ATT&CK:
Escalada de privilegios
-
ANSSI:
vuln1_delegación_a2d2
|
|
|
Existen menos de 2 Administradores Globales
|
Comprueba la presencia de menos de dos Administradores Globales. Este indicador se ajusta a las recomendaciones de Microsoft de que los clientes deben tener al menos dos administradores globales en el inquilino. | Información |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Lista de usuarios de riesgo (nivel medio o alto)
|
Comprueba si hay usuarios de riesgo en el inquilino con un nivel de riesgo medio o alto. Los usuarios de riesgo son individuos o cuentas que muestran comportamientos que aumentan la probabilidad de incidentes o violaciones de seguridad, como prácticas de autenticación débiles, susceptibilidad al phishing, patrones de actividad inusuales, acceso a recursos desde dispositivos o redes no seguros, o privilegios elevados. Estos usuarios plantean riesgos significativos, que pueden dar lugar a la pérdida de credenciales, la violación de datos o amenazas internas. | Advertencia |
-
MITRE ATT&CK:
Acceso inicial
|
|
|
MFA no está configurado para las cuentas privilegiadas
|
Comprueba si la autenticación multifactorial (MFA) está activada para los usuarios con derechos administrativos. Las cuentas con acceso privilegiado son objetivos más vulnerables para los atacantes. Un compromiso de un usuario privilegiado representa un riesgo significativo y, por lo tanto, requiere una protección adicional. | Advertencia |
|
|
|
Existen más de 10 administradores con privilegios
|
Comprueba la presencia de 10 o más roles privilegiados asignados. Este indicador se ajusta a las recomendaciones de Microsoft de que los clientes no tengan más de 10 asignaciones de funciones privilegiadas. | Advertencia |
|
|
|
Existen más de 5 administradores globales
|
Comprueba la presencia de cinco o más Administradores Globales. Los administradores globales controlan el entorno de Azure AD y tienen acceso a todas las funciones administrativas y al control total de Azure AD. | Advertencia |
|
|
|
Se ha creado un nuevo token de API
|
Comprueba si se ha creado un nuevo token de API en los últimos 7 días. Los tokens de API con privilegios elevados permiten el acceso y las acciones no autorizadas en Okta. Si un atacante obtiene acceso a la contraseña del token, puede aprovecharla para realizar consultas y acciones que pueden llevar a la persistencia y comprometer el entorno. | Advertencia |
|
|
|
Se ha concedido un nuevo permiso a un grupo
|
Comprueba si se ha concedido algún permiso a un grupo en los últimos 7 días. Los miembros de un grupo con privilegios elevados pueden realizar acciones importantes en Okta. Por lo tanto, es importante saber qué grupos conceden privilegios elevados. | Información |
|
|
|
Se ha concedido un nuevo permiso al usuario
|
Comprueba si se ha concedido algún permiso a un usuario en los últimos 7 días. Los usuarios con privilegios elevados pueden realizar acciones significativas en Okta. Por lo tanto, es importante identificar y supervisar a los usuarios a los que se han concedido privilegios elevados para mitigar el riesgo de acceso no autorizado y el posible uso indebido de datos confidenciales. | Información |
|
|
|
Se ha concedido un nuevo permiso de superadministrador al usuario
|
Comprueba si hay usuarios a los que se les hayan concedido permisos de "Super Admin" en los últimos 7 días. Los usuarios con privilegios de "Super Admin" tienen amplios privilegios y control sobre aspectos críticos del entorno de Okta. La concesión no autorizada o excesiva del permiso "Super Admin" puede aumentar significativamente el riesgo de compromiso y acceso no autorizado a Okta. | Advertencia |
|
|
|
Se han concedido nuevos permisos de superadministrador a un grupo
|
Comprueba los grupos en los que se han concedido permisos de "Superadministrador" en los últimos 7 días. Los miembros de un grupo con privilegios de "Superadministrador" tienen un amplio acceso y pueden realizar acciones importantes en Okta. Por lo tanto, es importante supervisar de cerca y controlar a qué grupos se les otorgan estos privilegios fuertes para evitar el acceso no autorizado y el compromiso potencial del entorno de Okta. | Advertencia |
|
|
|
Los usuarios que no son administradores pueden registrar aplicaciones personalizadas
|
Comprueba si existe una política de autorización que permita a los usuarios no administradores registrar aplicaciones personalizadas. Si se permite a los usuarios que no son administradores registrar aplicaciones empresariales personalizadas, los agresores podrían utilizar esa laguna para registrar aplicaciones maliciosas, que luego podrían aprovechar para obtener permisos adicionales. | Advertencia |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Acceso no predeterminado a la clave DPAPI
|
Comprueba los controladores de dominio en busca de principales no predeterminados que tengan permiso para recuperar la clave de copia de seguridad DPAPI del dominio (mediante LsaRetrievePrivateData). Con estos permisos, un atacante podría recuperar todos los datos del dominio cifrados mediante DPAPI. | Advertencia |
|
|
|
Acceso no predeterminado a la clave raíz de gMSA
|
Busca principios no predeterminados con permisos para leer el atributo msKds-RootKeyData en la clave raíz de KDS. Los usuarios con permisos de lectura para esta propiedad podrían comprometer todas las cuentas gMSA del bosque. | Advertencia |
-
MITRE ATT&CK:
Acceso a las credenciales
-
ANSSI:
vuln1_permissions_ gmsa_keys vuln2_permissions_ gmsa_keys
|
|
|
Los principios no predeterminados con derechos de sincronización de DC en el dominio
|
Busca responsables de seguridad con permisos de Replicación de cambios en todo o Replicación de cambios en el directorio en el objeto de contexto de nombre de dominio. Los principios de seguridad con estos permisos en el objeto de contexto de nombre de dominio pueden recuperar potencialmente los hash de las contraseñas de los usuarios en un dominio de AD (ataque de DCSync). | Crítica |
|
|
|
Valor no predeterminado en ms-Mcs-AdmPwd SearchFlags
|
Busca cambios en los searchFlags por defecto en el esquema ms-Mcs-AdmPwd. Algunas banderas pueden provocar inadvertidamente que la contraseña sea visible para usuarios no deseados, lo que permitiría a un atacante utilizarla como una puerta trasera clandestina. | Advertencia |
|
|
|
Usuarios no privilegiados con acceso a las contraseñas de gMSA
|
Busca principios listados dentro del grupo gMSA que no están en los grupos de administración incorporados. Un atacante que controla el acceso a la cuenta gMSA puede recuperar las contraseñas de los recursos gestionados con gMSA. | Advertencia |
|
|
|
Permisos de esquema no estándar
|
Busca administradores adicionales con cualquier permiso más allá del genérico de Lectura para las particiones del esquema. Por defecto, los permisos de modificación del esquema están limitados a los administradores del esquema. Estos permisos otorgan a la entidad de confianza un control total sobre Active Directory. | Advertencia |
|
|
|
Usuario de AAD no sincronizado que es elegible para un rol privilegiado
|
Comprueba si hay usuarios de Azure AD que reúnan los requisitos para un rol de privilegios elevados y tengan el atributo proxyAddress, pero que no estén sincronizados con una cuenta de AD. Un atacante podría utilizar la coincidencia SMTP para sincronizar usuarios AD controlados con usuarios AAD que son elegibles para roles de alto privilegio. Este proceso sobrescribe la contraseña de AAD y podría dar lugar a una escalada de privilegios sobre AAD. | Advertencia |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Replicación de NTFRS SYSVOL
|
Busca indicios del uso de FRS para la replicación de SYSVOL. NTFRS es un protocolo antiguo que ha sido sustituido por DFSR. Los atacantes que pueden manipular las vulnerabilidades de NTFRS para comprometer SYSVOL pueden cambiar potencialmente los GPO y los scripts de inicio de sesión para propagar el malware y moverse lateralmente por el entorno. | Advertencia |
-
MITRE ATT&CK:
Colección
-
ANSSI:
vuln2_sysvol_ntfrs
|
|
|
Objetos en grupos privilegiados sin adminCount=1 (SDProp)
|
Busca objetos en grupos privilegiados incorporados cuyo atributo adminCount no esté establecido en 1. Si un objeto dentro de estos grupos tiene un adminCount no igual a 1, podría significar que los DACL se establecieron manualmente (sin herencia) o que hay un problema con SDProp. | Información |
-
MITRE ATT&CK:
Evadir la defensa Persistencia
|
|
|
Objetos con delegación restringida configurada
|
Busca cualquier objeto que tenga valores en el atributo msDS-AllowedToDelegateTo (es decir, delegación restringida) y que no tenga establecido el bit UserAccountControl para la transición del protocolo. Los atacantes pueden utilizar las delegaciones para moverse lateralmente o escalar privilegios si comprometen un servicio que es de confianza para delegar. | Información |
|
|
|
Los grupos de operadores ya no están protegidos por AdminSDHolder y SDProp
|
Comprueba si se ha establecido dwAdminSDExMask en dsHeurstics, lo que indica un cambio en el comportamiento de SDProp que podría comprometer la seguridad. Un cambio en el comportamiento de AdminSDHolder SDProp podría indicar un intento de evadir la defensa. | Advertencia |
|
|
|
Grupos de operadores que no están vacíos
|
Busca grupos de operadores (Operadores de cuentas, Operadores de servidores, Operadores de copias de seguridad, Operadores de impresión) que contengan miembros. Estos grupos tienen acceso de escritura a los recursos críticos del dominio; los atacantes que son miembros de estos grupos pueden tomar el control indirecto del dominio. | Advertencia |
|
|
|
Confianza de bosque saliente con el historial de SID activado
|
Busca fideicomisos forestales salientes que tengan el indicador TRUST_ATTRIBUTE_TREAT_AS_ EXTERNAL establecido en true. Si este indicador está activado, una confianza entre bosques a un dominio se trata como una confianza externa a efectos del filtrado de SID. Este atributo relaja el filtrado más estricto realizado en las confianzas entre bosques. | Advertencia |
|
|
|
Comprobación de la política de contraseñas
|
Evalúa todas las políticas de contraseñas y verifica que se adhieran a las recomendaciones de Okta. Una política de contraseñas sólida es crucial para evitar el acceso no autorizado al entorno mediante ataques de fuerza bruta. | Advertencia |
|
|
|
Cambios de permisos en el objeto AdminSDHolder
|
Busca cambios en la lista de control de acceso (ACL) del objeto AdminSDHolder. Podría indicar un intento de modificar los permisos de los objetos privilegiados que están sujetos a AdminSDHolder. | Crítica |
|
|
|
Los usuarios primarios con SPN no admiten el cifrado AES en Kerberos
|
Muestra todos los usuarios primarios con servicePrincipalNames (SPN) que no admiten el tipo de cifrado AES-128 o AES-256. El cifrado AES es más potente que el cifrado RC4. Configurar los usuarios primarios con SPNs que soportan el cifrado AES no mitigará los ataques como el kerberoasting. Sin embargo, sí fuerza el cifrado AES por defecto, lo que significa que es posible controlar los ataques de downgrade de cifrado a RC4 (ataques de kerberoasting). | Advertencia |
|
|
|
Los directores con la delegación de autenticación restringida habilitada para un servicio de DC
|
Busca equipos y usuarios que tengan activada la delegación restringida para un servicio que se ejecuta en un DC. Si un atacante puede crear una delegación de este tipo, puede autenticarse en ese servicio utilizando cualquier usuario que no esté protegido contra la delegación. | Advertencia |
|
|
|
Principios con delegación restringida mediante transición de protocolo habilitada para un servicio de CC
|
Busca equipos y usuarios que tengan una delegación restringida mediante una transición de protocolo definida contra un servicio que se ejecuta en un DC. Si un atacante puede crear una delegación de este tipo para un servicio que puede controlar o comprometer un servicio existente, puede obtener efectivamente un TGS para cualquier usuario con privilegios en el DC. | Advertencia |
-
MITRE ATT&CK:
Escalada de privilegios
-
ANSSI:
vuln1_delegación_t2a4d
|
|
|
El servicio de cola de impresión está activado en un DC
|
Busca controladores de dominio que tengan el servicio Print Spooler en ejecución, el cual está habilitado por defecto. Se han encontrado varios fallos críticos en los servicios Print Spooler de Windows, que afectan directamente a los spoolers de impresión instalados en los controladores de dominio, permitiendo la ejecución remota de código. | Crítica |
|
|
|
Cuentas privilegiadas con una contraseña que nunca caduca
|
Identifica las cuentas privilegiadas (adminCount = 1) en las que el indicador "La contraseña nunca expira" está activado. Las cuentas de usuario cuyas contraseñas no caducan nunca son objetivos fáciles de adivinar por fuerza bruta. Si estas cuentas son también cuentas administrativas o privilegiadas, esto las convierte en un objetivo mayor. | Advertencia |
|
|
|
El grupo con privilegios contiene una cuenta de invitado
|
Comprueba si se han asignado funciones privilegiadas a las cuentas de invitados. Los atacantes externos codician las cuentas privilegiadas, ya que proporcionan una vía rápida a los sistemas más críticos de una organización. Las cuentas de invitados representan una entidad externa que no se somete a la misma seguridad que los usuarios de su inquilino; por lo tanto, asignarles funciones privilegiadas supone un riesgo mayor. | Advertencia |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Objetos privilegiados con propietarios no privilegiados
|
Busca objetos privilegiados (adminCount =1) que sean propiedad de una cuenta sin privilegios. Cualquier compromiso de una cuenta sin privilegios podría provocar la modificación de la delegación de un objeto privilegiado. | Advertencia |
|
|
|
Las credenciales de los usuarios con privilegios se almacenan en caché en el RODC
|
Busca usuarios privilegiados con credenciales que se almacenan en caché en los RODC. Aunque no es un indicio inmediato de un ataque, las cuentas de usuarios con privilegios son sensibles y no deberían almacenarse en caché en los RODC, ya que su seguridad física no es tan sólida como la de un DC completo. | Información |
-
MITRE ATT&CK:
Movimiento lateral Escalada de privilegios
|
|
|
Usuarios con privilegios desactivados
|
Busca cuentas de usuario con privilegios que estén deshabilitadas. Si una cuenta privilegiada está deshabilitada, debe ser eliminada de su(s) grupo(s) privilegiado(s) para evitar un mal uso accidental. | Información |
|
|
|
Usuarios con privilegios con ServicePrincipalNames definidos
|
Busca cuentas con el atributo adminCount establecido en 1 Y ServicePrincipalNames (SPN) definidos en la cuenta. Las cuentas con privilegios que tienen un SPN definido son objetivos de ataques basados en Kerberos que pueden elevar los privilegios a esas cuentas. | Advertencia |
|
|
|
Usuarios con privilegios con una política de contraseñas débil
|
Busca usuarios privilegiados en cada dominio que no tengan una política de contraseñas fuerte aplicada, según el marco ANSSI. Comprueba tanto la política de contraseñas de precisión (FGPP) como la política de contraseñas aplicada al dominio. Una contraseña segura definida por ANSSI tiene al menos ocho caracteres y se actualiza como máximo cada tres años. Las contraseñas débiles son más fáciles de descifrar mediante ataques de fuerza bruta y pueden proporcionar a los atacantes oportunidades para moverse lateralmente o escalar privilegios. El riesgo es aún mayor en el caso de las cuentas con privilegios, ya que cuando se ven comprometidas mejoran las posibilidades del atacante de avanzar rápidamente dentro de la red. | Crítica |
|
|
|
Funciones prohibidas de Entra ID asignadas
|
Comprueba la asignación de roles en Entra ID que están obsoletos o cuyo uso está prohibido. Los roles obsoletos o marcados como "nunca usar" pueden plantear riesgos de seguridad significativos si se asignan. Estos roles pueden tener permisos no deseados o no ser mantenidos apropiadamente, potencialmente conduciendo a vulnerabilidades de seguridad. | Advertencia |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
El grupo de usuarios protegidos no está en uso
|
Detecta cuando los usuarios con privilegios no son miembros del grupo de Usuarios Protegidos. El grupo de usuarios protegidos proporciona a los usuarios con privilegios una protección adicional frente a los ataques directos de robo de credenciales. | Información |
|
|
|
Consultar políticas que tienen el atributo ldap deny list configurado
|
Comprueba si hay listas de denegación de IP LDAP (atributo ldapipdenylist) en varios dominios de un entorno AD. Las entradas no autorizadas o inesperadas en la lista de denegación de IP de LDAP podrían sugerir un fallo de seguridad o un intento de limitar el acceso a recursos críticos de forma malintencionada. | Información |
|
|
|
Los controladores de dominio admiten el tipo de cifrado RC4 o DES
|
Comprueba si el cifrado RC4 o DES es compatible con los controladores de dominio. RC4 y DES se consideran una forma insegura de encriptación, susceptible a varios ataques criptográficos. Múltiples vulnerabilidades en el algoritmo RC4 o DES permiten ataques MITM (Man-in-the-Middle) y de descifrado. | Advertencia |
|
|
|
Actividad reciente de creación de cuentas privilegiadas
|
Busca usuarios o grupos privilegiados (adminCount = 1) que se hayan creado recientemente. Permite detectar cuentas y grupos privilegiados que se hayan creado sin conocimiento previo. Informativo | Información |
|
|
|
Cambios recientes de sIDHistory en los objetos
|
Detecta cualquier cambio reciente en el sIDHistory de los objetos, incluyendo los cambios en las cuentas no privilegiadas donde se añaden SIDs privilegiados. Los atacantes necesitan acceso privilegiado a AD para poder escribir en sIDHistory, pero si existen tales derechos, entonces escribir SIDs privilegiados en cuentas de usuarios regulares es una forma sigilosa de crear cuentas de puerta trasera. | Advertencia |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Delegación restringida basada en recursos aplicada a la cuenta AZUREADSSOACC
|
Busca la Delegación Restringida Basada en Recursos configurada para la cuenta Azure SSO, AZUREADSSOACC. Una cuenta con Delegación Restringida Basada en Recursos permitiría a esa entidad de seguridad generar una solicitud de Servicio de Concesión de Tickets (TGS) al inquilino de Azure en nombre de la cuenta AZUREADSSOACC como cualquier usuario y suplantar a ese usuario. | Advertencia |
|
|
|
Contraseñas reversibles encontradas en GPOs
|
Busca en el SYSVOL las GPO que contienen contraseñas que pueden ser fácilmente descifradas por un atacante (las llamadas entradas "Cpassword"). Esta área es una de las primeras cosas que los atacantes buscan cuando han obtenido acceso a un entorno AD. | Crítica |
|
|
|
Riesgo de almacenamiento en caché de credenciales RODC
|
Busca una política de replicación de contraseñas que permita objetos privilegiados. Si los usuarios con privilegios están en la lista de permitidos, pueden estar expuestos al robo de credenciales en un RODC. | Advertencia |
-
MITRE ATT&CK:
Acceso a las credenciales
-
ANSSI:
vuln2_rodc_priv_ revelado
-
MITRE D3FEND:
Endurecer - Permisos de la cuenta de usuario
|
|
|
Los valores predeterminados de seguridad no están activados
|
Cuando no hay políticas de acceso condicional configuradas, este indicador comprueba si los valores predeterminados de seguridad están habilitados. Se recomienda utilizar los valores predeterminados de seguridad para los inquilinos que no tienen políticas de acceso condicional configuradas. Los valores predeterminados de seguridad requerirán MFA, bloquearán la autenticación heredada y requerirán autenticación adicional al acceder al portal de Azure, Azure PowerShell y la CLI de Azure. | Advertencia |
|
|
|
Restablecimiento de contraseña de autoservicio habilitado para funciones privilegiadas
|
Comprueba si los usuarios con funciones privilegiadas en Entra ID pueden utilizar el restablecimiento de contraseña de autoservicio. El restablecimiento de contraseña de autoservicio (SSPR) es beneficioso en las organizaciones para los usuarios finales, pero tiene desventajas de seguridad para las cuentas privilegiadas. | Advertencia |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Credenciales en la sombra en objetos privilegiados
|
Busca usuarios con acceso de escritura al atributo msDS-KeyCredentialLink de usuarios privilegiados y controladores de dominio.
controladores de dominio.
Los usuarios que pueden escribir en estos objetos privilegiados y
Kerberos PKINIT está habilitado pueden elevar privilegios a estos
objetos. | Advertencia |
|
|
|
La firma SMB no es necesaria en los controladores de dominio
|
Busca controladores de dominio en los que no se requiera la firma SMB. El tráfico de red sin firmar es susceptible de ataques que abusan del protocolo de desafío-respuesta NTLM. Un ejemplo común de este tipo de ataques es el SMB Relay, en el que un atacante se sitúa entre el cliente y el servidor para capturar los paquetes de datos transmitidos entre ambos, obteniendo así
obtener acceso no autorizado al servidor o a otros servidores de la red. | Crítica |
|
|
|
SMBv1 está activado en los controladores de dominio
|
Busca los controladores de dominio en los que el protocolo SMBv1 está habilitado. SMBv1 es un protocolo antiguo (desaprobado por Microsoft en 2014), que se considera inseguro y susceptible de sufrir todo tipo de ataques. | Crítica |
|
|
|
Cuenta de ordenador SSO con contraseña establecida por última vez hace más de 90 días
|
Comprueba la cuenta de equipo Azure SSO (AZUREADSSOACC) para determinar si la contraseña se ha rotado en los últimos 90 días. La contraseña de la cuenta de equipo Azure SSO no se cambia automáticamente cada 30 días. Si la contraseña de esta cuenta se ve comprometida, un atacante podría generar una solicitud Ticket Granting Service (TGS) a la cuenta AZUREADSSOACC como cualquier usuario, lo que tiene el efecto de generar un ticket a Azure y hacerse pasar por ese usuario. | Advertencia |
|
|
|
Credenciales sospechosas en los principales servicios de Microsoft
|
Comprueba si ciertos principales de servicio de Microsoft tienen secretos asignados. En Entra ID es posible asignar credenciales tales como secretos o claves a los principales de servicio para aplicaciones Microsoft. En ciertos escenarios, esto le permitiría actuar con los mismos derechos que la aplicación tiene usando flujos de concesión de credenciales de cliente OAuth 2.0 contra Microsoft Graph API. | Crítica |
-
MITRE ATT&CK:
Evadir la defensa Persistencia Escalada de privilegios
|
|
|
Cambios en el ejecutable SYSVOL
|
Busca modificaciones en los archivos ejecutables dentro de SYSVOL. Los cambios en los archivos ejecutables dentro de SYSVOL deben ser contabilizados o investigados para buscar un potencial debilitamiento de la postura de seguridad. | Información |
|
|
|
Cuentas de confianza con contraseñas antiguas
|
Busca cuentas de confianza cuya contraseña no haya cambiado en el último año. Las cuentas de confianza facilitan la autenticación entre las confianzas y deben ser protegidas como las cuentas de usuarios privilegiados. Normalmente, las contraseñas de las cuentas de confianza se rotan automáticamente, por lo que una cuenta de confianza sin un cambio de contraseña reciente podría indicar una cuenta de confianza huérfana. | Información |
|
|
|
Cuentas inesperadas en el Grupo de Editores de Cert
|
Comprueba si el grupo de editores de certificados contiene miembros que no se espera que estén allí. Las personas que pertenecen al grupo de editores de certificados tienen la capacidad de introducir una autoridad de certificación (CA) potencialmente dañina en un entorno ADCS en la que confiarán todos los clientes. | Advertencia |
|
|
|
Cuentas sin privilegios con adminCount=1
|
Busca cualquier usuario o grupo que pueda estar bajo el control de SDProp (adminCount=1) pero que ya no sea miembro de grupos privilegiados. Podría ser la evidencia de que un atacante intentó cubrir sus huellas y eliminar un usuario que utilizó para comprometer el sistema. | Información |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Propietario no privilegiado de un grupo privilegiado
|
Comprueba la presencia de un propietario sin privilegios en un grupo con funciones privilegiadas. La asignación de funciones a un grupo en lugar de a los propietarios individuales agiliza el proceso de adición o eliminación de usuarios y garantiza permisos coherentes para todos los miembros del grupo. Sin embargo, el propietario del grupo puede añadirse a sí mismo al grupo en cualquier momento, lo que supone un riesgo de escalada de privilegios si el propietario es un mandante sin privilegios. | Advertencia |
-
MITRE ATT&CK:
Movimiento lateral Persistencia
|
|
|
Principios sin privilegios como administradores de DNS
|
Busca cualquier miembro del grupo DNS Admins que no sea un usuario con privilegios. Los miembros de este grupo pueden ser delegados a administradores que no son de AD (por ejemplo, administradores con responsabilidades de red, como DNS, DHCP, etc.), lo que puede hacer que estas cuentas sean objetivos principales de compromiso. | Advertencia |
-
MITRE ATT&CK:
Ejecución Escalada de privilegios
-
ANSSI:
vuln1_dnsadmins vuln1_permissions_msdn
|
|
|
Los usuarios sin privilegios pueden añadir cuentas de ordenador al dominio
|
Comprueba si los miembros del dominio sin privilegios pueden añadir cuentas de equipo a un dominio. La posibilidad de añadir cuentas de equipo a un dominio puede ser objeto de ataques basados en Kerberos. | Información |
|
|
|
Se permite el consentimiento del usuario sin restricciones
|
Comprueba si se permite a los usuarios añadir aplicaciones de editores no verificados. Cuando se permite a los usuarios consentir cualquier aplicación de terceros, existe un riesgo considerable de que una aplicación permitida realice acciones intrusivas o arriesgadas. | Advertencia |
-
MITRE ATT&CK:
Movimiento lateral Persistencia
|
|
|
Configuración de DNS no segura
|
Busca zonas DNS configuradas con ZONE_UPDATE_UNSECURE, que permite actualizar un registro DSN de forma anónima. Un atacante podría aprovechar esta vulnerabilidad para añadir un nuevo registro DSN o reemplazar un registro DNS existente para falsificar una interfaz de gestión, y luego esperar las conexiones entrantes para robar credenciales. | Advertencia |
-
MITRE ATT&CK:
Escalada de privilegios
-
ANSSI:
vuln1_dnszone_bad_ prop
|
|
|
Cuentas de usuario que almacenan contraseñas con cifrado reversible
|
Identifica las cuentas con el indicador "ENCRYPTED_TEXT_PWD_ALLOWED" habilitado. Los atacantes pueden ser capaces de obtener las contraseñas de estos usuarios a partir del texto cifrado y tomar el control de estas cuentas. | Información |
-
MITRE ATT&CK:
Acceso a las credenciales
-
ANSSI:
vuln3_reversible_password
-
MITRE D3FEND:
Endurecer - Política de contraseñas fuertes
|
|
|
Cuentas de usuario que utilizan el cifrado DES
|
Identifica las cuentas de usuario con el indicador "Usar tipos de cifrado Kerberos DES para esta cuenta". Los atacantes pueden descifrar fácilmente las contraseñas DES utilizando herramientas ampliamente disponibles, lo que hace que estas cuentas estén listas para ser controladas. | Información |
|
|
|
Cuentas de usuario con contraseña no requerida
|
Identifica las cuentas de usuario en las que no se requiere una contraseña. Las cuentas con controles de acceso débiles son a menudo el objetivo para que puedan moverse lateralmente o ganar una posición persistente en el entorno. | Información |
|
|
|
Activación del usuario en los últimos 7 días
|
Comprueba si hay usuarios activados en los últimos 7 días. Los usuarios activados tienen la capacidad de autenticarse y realizar acciones dentro del entorno de Okta. Por lo tanto, es importante supervisar y verificar el estado de activación de los usuarios para garantizar que solo las personas autorizadas tengan acceso. | Información |
|
|
|
Se permite el consentimiento del usuario para aplicaciones de riesgo
|
Verifica si existe una política de autorización Entra ID que permita a los usuarios otorgar consentimiento para aplicaciones riesgosas. Para mejorar la seguridad, se recomienda establecer la propiedad allowUserConsentForRiskyApps en false. Esto previene que los usuarios otorguen consentimiento a aplicaciones riesgosas independientemente. | Advertencia |
|
|
|
Desactivación de usuarios en los últimos 7 días
|
Comprueba si hay usuarios desactivados en los últimos 7 días. Los usuarios desactivados ya no tienen la capacidad de autenticarse y realizar acciones dentro del entorno de Okta. Sin embargo, un atacante puede desactivar intencionalmente a un usuario para interrumpir el funcionamiento del entorno u ocultar sus actividades. Es importante supervisar y verificar el estado de desactivación de los usuarios para asegurarse de que se alinea con los controles de acceso previstos. | Información |
|
|
|
Usuarios y ordenadores con IDs de grupos primarios no predeterminados
|
Devuelve una lista de todos los usuarios y equipos cuyos ID de grupo primario (PGID) no son los predeterminados para los usuarios y equipos del dominio. La modificación del ID de grupo primario es una forma sigilosa para que un atacante escale privilegios sin activar la auditoría de atributos de miembros para los cambios de pertenencia al grupo. | Información |
|
|
|
Usuarios y ordenadores sin PGID legibles
|
Encuentra usuarios y equipos que no pueden leer el ID de grupo primario (PGID). Puede ser causado por la eliminación del permiso de lectura por defecto, lo que podría indicar un intento de ocultar al usuario (en combinación con la eliminación del atributo memberOf). | Advertencia |
-
MITRE ATT&CK:
Evadir la defensa
|
|
|
Usuarios o dispositivos inactivos durante al menos 90 días
|
Comprueba si hay usuarios o dispositivos que no hayan iniciado sesión durante los últimos 90 días. Es probable que los usuarios o dispositivos que han estado inactivos durante 90 días o más ya no estén en uso y dejen una puerta abierta al inquilino de Azure AD. | Advertencia |
-
MITRE ATT&CK:
Persistencia Escalada de privilegios
|
|
|
Usuarios con la preautenticación Kerberos desactivada
|
Busca usuarios con la preautenticación Kerberos desactivada. Estos usuarios pueden ser objetivo de ataques ASREP-Roasting (como "Kerberoasting"). | Advertencia |
-
MITRE ATT&CK:
Acceso a las credenciales
-
ANSSI:
vuln1_kerberos_prop- erties_preauth_priv vuln2_kerberos_prop- erties_preauth
|
|
|
Usuarios con contraseñas antiguas
|
Busca cuentas de usuario cuya contraseña no haya sido cambiada después de 180 días. Estas cuentas podrían ser objeto de ataques para adivinar la contraseña. | Advertencia |
|
|
|
Usuarios con el indicador "La contraseña no caduca" activado
|
Identifica las cuentas de usuario en las que el indicador "La contraseña no caduca nunca" está activado. Estas cuentas pueden ser objetivos potenciales de ataques de fuerza bruta a las contraseñas. | Información |
|
|
|
Usuarios con permisos para establecer la cuenta de confianza del servidor
|
Comprueba los permisos del controlador de dominio NC para ver si el indicador Server_Trust_Account está establecido en los objetos del equipo. Un atacante que pueda sembrar usuarios autenticados con estos permisos puede utilizar su acceso para promover cualquier equipo que controle al estado de Controlador de Dominio, permitiendo la escalada de privilegios a los servicios de AD y llevando a cabo ataques de acceso a credenciales como DCSync. | Crítica |
-
MITRE ATT&CK:
Escalada de privilegios
|
|
|
Usuarios con ServicePrincipalName definido
|
Proporciona una forma de inventariar visualmente todas las cuentas de usuario que tienen definidos ServicePrincipalNames (SPN). Generalmente, los SPN solo se definen para servicios "Kerberizados"; otras cuentas con un SPN pueden ser motivo de preocupación. | Advertencia |
|
|
|
Usuarios con el atributo userPassword establecido
|
Comprueba si el atributo userPassword existe en las cuentas. El atributo userPassword guarda las contraseñas en texto claro y se puede consultar mediante LDAP, que puede exponer potencialmente las contraseñas.
| Advertencia |
|
|
|
Usuarios sin autenticación multifactor (AMF)
|
Comprueba todos los usuarios para identificar a aquellos que no se han registrado para la autenticación multifactor (MFA). Los usuarios que no están configurados con MFA corren un alto riesgo de verse comprometidos. Esto supone una amenaza significativa no sólo para el usuario, sino también para todo el entorno. | Advertencia |
-
MITRE ATT&CK:
Acceso inicial
|
|
|
Encriptación débil de los certificados
|
Busca certificados almacenados en Active Directory con un tamaño de clave inferior a 2048 bits o que utilicen cifrado DSA. Los atacantes pueden abusar de los certificados débiles para acceder a los sistemas que utilizan autenticación por certificado. | Advertencia |
|
|
|
SID privilegiados conocidos en sIDHistory
|
Busca principios de seguridad que contengan SIDs específicos de cuentas de grupos privilegiados incorporados dentro del atributo sIDHistory. Permite que esos principios de seguridad tengan los mismos privilegios que esas cuentas privilegiadas, pero de una manera que no sea obvia para la monitorización (por ejemplo, a través de la pertenencia a un grupo). | Crítica |
|
|
|
Accesos directos grabables en GPO
|
Busca accesos directos en los objetos de directiva de grupo (GPO) en los que puedan escribir usuarios con pocos privilegios. Cuando los usuarios con pocos privilegios pueden modificar los accesos directos de los GPO, pueden producirse riesgos de seguridad y modificaciones no autorizadas. | Advertencia |
|
|
|
Acceso de escritura a RBCD en DC
|
Busca usuarios que no estén en los grupos de administradores de dominio, administradores de empresa o administradores incorporados que tengan acceso de escritura en la delegación restringida basada en recursos (RBCD) para los controladores de dominio. Los atacantes que pueden obtener acceso de escritura a RBCD para un recurso pueden hacer que el recurso se haga pasar por cualquier usuario (excepto cuando la delegación está explícitamente desautorizada). | Advertencia |
|
|
|
Acceso de escritura a RBCD en la cuenta krbtgt
|
Busca usuarios que no estén en los grupos Domain Admins, Enterprise Admins o Built-in Admins que tengan acceso de escritura en Resource-Based Constrained Delegation (RBCD) para la cuenta krbtgt. Los atacantes que pueden obtener acceso de escritura a RBCD para un recurso pueden hacer que el recurso se haga pasar por cualquier usuario (excepto cuando la delegación está explícitamente desautorizada). | Advertencia |
|
|
|
Vulnerabilidad de Zerologon
|
Busca la vulnerabilidad de seguridad CVE-2020-1472, que fue parcheada por Microsoft en agosto de 2020. Sin este parche, un atacante no autentificado puede explotar CVE-2020-1472 para elevar sus privilegios y obtener acceso administrativo en el dominio. | Crítica |
-
MITRE ATT&CK:
Escalada de privilegios
|
|