El Directorio Activo (DA) es uno de los objetivos más preciados por los atacantes. Saben que una vez que logran entrar a él, tienen pase directo al resto de la red. DA es un componente fundamental pues a través de él se proveen los servicios necesarios para que los administradores gestionen los permisos y controlen el acceso a los recursos de la red, necesarios para la operación efectiva de las organizaciones.
Y es ahí donde radica el mayor reto. Por un lado, es vital que los usuarios tengan un acceso sencillo al DA para realizar su trabajo del día a día; por otro, es lo que puede dificultar su protección en un momento dado. De acuerdo con estimaciones de Microsoft, todos los días más de 95 millones de cuentas de Directorio Activo son atacadas, y ese número va en aumento.
Pero proteger efectivamente el DA no es una misión imposible. A través de tácticas y herramientas dedicadas, los responsables de la seguridad empresarial pueden elevar el nivel de protección y prevenir los ataques a los que DA y la red están expuestos todos los días.
A continuación, diez acciones que pueden poner en práctica para mejorar la protección del Directorio Activo en sus organizaciones.
- Prevenir y detectar la enumeración de sesiones privilegiadas, delegadas, de administración y servicios en la red. Una vez que logra infiltrarse en la red, un atacante identifica los recursos valiosos y accede a ellos realizando actividades aparentemente normales y cotidianas que difícilmente son detectadas. Identificar y prevenir las enumeraciones de los objetos privilegiados, de administración delegada, de las cuentas de servicio y de los controladores de dominio puede alertar sobre su presencia al inicio del ataque. Mediante cuentas de dominio y credenciales engañosas es posible detener a los atacantes y desviarlos hacia señuelos.
- Identificar y remediar las exposiciones de cuentas privilegiadas. Los atacantes saben que los usuarios almacenan sus credenciales en sus estaciones de trabajo y buscan obtenerlas para tener acceso a la red. Las empresas pueden evitarlo al identificar las exposiciones de cuentas privilegiadas, remediar errores de configuración y eliminar credenciales guardadas, carpetas compartidas y otras vulnerabilidades.
- Detectar y proteger contra ataques tipo “Golden Ticket” y “Silver Ticket”. Los ataques Pass-the-Ticket (PTT) son una técnica que usan los cibercriminales para desplazarse lateralmente por la red y escalar sus privilegios. “Golden Ticket” y “Silver Ticket” son los tipos de ataques del tipo PTT más severos que se utilizan para comprometer los dominios. Para detenerlos, es necesario detectar cuentas de servicios de cómputo y Kerberos Ticket Granting Ticket (TGT) vulnerables, así como identificar y alertar sobre errores de configuración que podrían detonar dichos ataques.
- Proteger contra ataques de Keberoasting, DCSync y DCShadow. Un ataque de “Kerberoasting” permite tener acceso privilegiado, mientras que los ataques de DCSync y DCShadow permiten mantener persistencia dentro del dominio de la empresa. Para prevenirlos hay que realizar una evaluación continua del AD a fin de hacer un análisis en tiempo real y alertar de los errores de configuración. También es conveniente tener una solución capaz de prevenir que los atacantes descubran cuentas a las que atacar y de reducir su capacidad para realizar estas incursiones.
- Evitar la extracción de credenciales de porciones de dominios. Los atacantes tienen en la mira contraseñas de texto sencillo o reversibles que se encuentran almacenadas en scripts o archivos de políticas ubicados en porciones de dominios (domain shares) como Sysvol o Netlogon. Se recomienda el uso de soluciones que ayuden a detectar estas contraseñas y remediar las exposiciones antes de que los atacantes las comprometan, además de implementar objetos de políticas de grupos de Sysvol engañosos en el DA, lo que ayuda a alejar a los atacantes de los recursos de producción.
- Identificar cuentas con SID privilegiado. Mediante la técnica de inyección Windows Security Identifier (SID), los adversarios pueden utilizar el atributo “historia” del SID para moverse lateralmente dentro del DA y escalar sus privilegios. Para prevenirlo es necesario detectar una de cuentas con valores de SID privilegiados en el atributo de historia y los reportes de SID.
- Detectar la peligrosa delegación de derechos de acceso en objetos críticos. La delegación es una característica del Directorio Activo que permite a un usuario o cuenta hacerse pasar por otra cuenta. Los atacantes pueden aprovecharla para tener acceso a distintas áreas de la red. Monitorear continuamente las vulnerabilidades del DA y la exposición de la delegación puede ayudar a identificar y remediar estas vulnerabilidades antes de que los adversarios las aprovechen.
- Identificar cuentas privilegiadas con delegación habilitada. Las cuentas privilegiadas que estén configuradas con delegación ilimitada pueden dar paso a ataques de Kerberoasting y Silver Ticket. De ahí que las empresas puedan detectar y reportar las cuentas privilegiadas que tienen la función de delegación habilitada. A los encargados de la seguridad les puede ser útil tener una lista completa de los usuarios privilegiados, administradores delegados y cuentas de servicios para hacer un inventario de las vulnerabilidades potenciales.
- Identificar usuarios no privilegiados en ACL de AdminSDHolder. Para moverse lateralmente, los atacantes pueden añadir cuentas al objeto AdminSDHolder que se utiliza para asegurar usuarios y grupos privilegiados. A su vez, éste tiene una Access Control List (ACL) que controla los permisos de los directores de seguridad que son miembros de los grupos privilegiados de DA. Cuando los adversarios añaden cuentas, obtienen el mismo acceso privilegiado que otras cuentas protegidas. Las organizaciones pueden utilizar herramientas que puedan detectar y alertar sobre la presencia de cuentas inusuales dentro de ACL de AdminiSDHolder.
- 10.Identificar cambios recientes a la política de dominios o a la política de controladores de dominios. Las organizaciones utilizan políticas de grupos dentro de DA para gestionar las configuraciones operativas al definir los parámetros de seguridad para dicho entorno. Con ellas, los administradores instalan software, definen la seguridad y establecen permisos de archivos y registros. Los atacantes, sin embargo, pueden modificar estas políticas para lograr la persistencia de dominios dentro de la red. Estar al tanto de los cambios a las políticas de grupo predeterminadas puede ayudar a detectar rápidamente a estos atacantes, y mitigar así lo riesgos para la seguridad y prevenir el acceso privilegiado al DA.
Los atacantes reconocen que la naturaleza única del Directorio Activo lo hace altamente valioso y difícil de asegurar, y explotarlo es una prioridad para ellos. La buena noticia es que los responsables de la seguridad en las empresas pueden asegurar sus servicios de directorio cuando entienden los riesgos a los que están expuestos y saber de inmediato cuándo esos recursos están bajo ataque.
Al aplicar las recomendaciones y tácticas anteriores, las empresas pueden además identificar efectivamente las vulnerabilidades, detectar oportunamente la actividad maliciosa y remediar los incidentes de seguridad antes de que los usuarios puedan elevar sus privilegios y convertir un ataque de pequeña escala en una brecha importante.
Por: Juan Carlos Vázquez, Director para Latinoamérica de Attivo Networks, una compañía de SentinelOne.