Orin Thomas

Explotar las desconfiguraciones de Active Directory es una vía muy utilizada por los atacantes. Según Microsoft, 95 millones de cuentas de Active Directory son atacadascada día. Los atacantes utilizan las vulnerabilidades de seguridad de Active Directory para obtener acceso privilegiado y moverse por los sistemas comprometidos, cosechando activos valiosos, instalando malware o plantando ransomware, entre otras tácticas.

Proteja su organización solucionando estos errores de configuración habituales de AD lo antes posible.

1. responsables no predeterminados con derechos DCSync

La función DCSync suplanta la identidad de un controlador de dominio (DC) y solicita datos de contraseñas a un DC objetivo mediante el protocolo remoto de servicios de replicación de directorios.

Detectar el problema

  • Busque cuentas en las que se deleguen los siguientes derechos:
    • Replicación de cambios de directorio (DS-Replication-Get-Changes)
    • Replicación de todos los cambios de directorio (DS-Replication-Get-Changes-All)
    • Replicación de cambios de directorio en conjunto filtrado (DS-Replication-Get-Changes)
  • Determine si DCSync se está utilizando para alojar otros controladores de dominio.
  • Determina si alguna cuenta que no sea miembro de Administradores de dominio o Controladores de dominio tiene estos derechos.

Remediación

Para un análisis en profundidad de este problema y de cómo solucionarlo, consulte este artículo sobre Seguridad AD 101.

2. Cambios de permisos en el objeto AdminSDHolder

AdminSDHolder proporciona permisos de plantilla para cuentas y grupos protegidos. A diferencia de la mayoría de los objetos del dominio de Active Directory, el AdminSDHolder es propiedad del grupo Administradores del dominio. De forma predeterminada, los grupos Enterprise Admins, Domain Admins y Administrators pueden realizar cambios en cualquier objeto AdminSDHolder del dominio. Además, los miembros de los grupos Administrators o Enterprise Admins pueden tomar posesión del objeto. Los permisos de plantilla de AdminSDHolder también son persistentes, lo que significa que se vuelven a aplicar cada 60 minutos.

Detección

Para encontrar configuraciones erróneas de Active Directory de este tipo, busque cuentas de usuario inusuales a las que se hayan asignado permisos en las listas de control de acceso AdminSDHolder. Normalmente, descubrirá esto eliminando un titular de permisos desconocido, como "harry_the_frog", sólo para ver que ese mismo titular aparece 60 minutos después. Esto debería ser un disparador para recordarle la persistencia de AdminSDHolder.

Remediación

  • Utilice ADSIEdit para conectarse al contexto de nomenclatura por defecto y localizar el contenedor AdminSDHolder.
  • Seleccione Propiedades.
  • En Seguridad avanzada, haga clic en Restaurar valores predeterminados.
  • Forzar la replicación mediante repadmin/syncall.

3. Contraseñas reversibles en objetos de directiva de grupo

La configuración de directiva Almacenar contraseña mediante cifrado reversible ofrece compatibilidad con aplicaciones que usan protocolos que requieren la contraseña del usuario para la autenticación. Esto es un problema porque el cifrado reversible es, bueno, reversible. Esto significa que un atacante que rompa este cifrado puede comprometer la cuenta.

Detección

Revise sus políticas de grupo y determine si la opción Almacenar código de acceso mediante cifrado reversible está activada.

Remediación

La solución es bastante sencilla: Basta con desactivarla. Sin embargo, antes de hacerlo, debe averiguar qué romperá la acción. Es probable que la remediación se haya activado porque algunas aplicaciones la requieren. La compatibilidad de aplicaciones es una deuda tecnológica impagable que afecta a todo el mundo. A menos que la aplicación pueda reescribirse, es posible que te veas obligado a mitigar los problemas de seguridad que la aplicación pueda causar.

4. Acceso anónimo a Active Directory

El acceso anónimo significa que los usuarios no autentificados pueden leer y acceder a los datos. Este acceso está desactivado por defecto, pero puede ser necesario en algunos casos legítimos. Con este acceso, un usuario no autorizado puede hacer una lista anónima de nombres de cuenta y utilizar la información para intentar adivinar contraseñas o realizar ataques de ingeniería social.

Detección

  • Utilizando ADSIEdit, compruebe la siguiente lista para dSHeuristics configurado como 0000002:
    • CN=Servicio de directorio
    • CN=Windows NT
    • CN=Servicios
    • CN=Configuración
    • DC=<my domain>
  • Determine si el acceso anónimo está habilitado (asignado a "NT Authority/Anonymous" en el dominio o contenedor mediante Active Directory Users and Computers (ADUC).

Remediación

  • Cambia el valor del atributo de 0000002 a 1 o 0.
  • Elimina el acceso anónimo al dominio o al contenedor.

5. Vulnerabilidades de Zerologon

La vulnerabilidad Zerologon es un exploit en el protocolo de netlogon de Active Directory (MS-NRPC) que permite el acceso a servidores que utilizan NTLM. Este ataque permite a un atacante hacerse pasar por cualquier ordenador del sistema, incluido el DC raíz. La vulnerabilidad también permite desactivar funciones de seguridad en el proceso de autenticación netlogon. Utilizado por un atacante competente, también puede generar un Golden Ticket, que permite a un atacante hacerse con el control de la cuenta KRBTGT.

Detección

La detección puede ser difícil porque los tokens Kerberos parecen legítimos. Los vales TGT son válidos y están firmados por KRBTGT.

Remediación

La autenticación NTLM es funcional en el producto de envío y está activada por defecto. Desactivar la autenticación NTLM puede romper las aplicaciones. Determine qué aplicaciones utilizan este antiguo protocolo y corríjalas. A continuación, deshabilite NTLM y empiece a utilizar Kerberos en su dominio de Active Directory.

6. Contraseñas de cuentas de servicio no caducadas

Las cuentas de servicio se configuran con contraseñas que nunca caducan. Las cuentas de servicio con contraseñas estándar que no cambian son más fáciles de comprometer. Hoy en día existen mejores opciones de gestión de contraseñas para permitir el acceso sin introducir este nivel de riesgo.

Detección

Busque cuentas con contraseñas que no caduquen para poder identificarlas y tratarlas.

Remediación

Implementa la práctica de cambiar tus cuentas de servicios a cuentas de servicios gestionadas por grupos. No necesitas conocer la contraseña; el sistema la gestionará por ti, y tu seguridad mejorará con el cambio.

7. Acceso de administradores no pertenecientes al dominio a los controladores del dominio

Los usuarios que no son administradores de dominio pueden iniciar sesión de forma remota en un DC a través de RDP o PowerShell. Los atacantes pueden iniciar sesión de forma remota en un DC mediante PowerShell o servicios de escritorio remoto.

Detección

Compruebe la asignación de derechos de usuario en los ajustes de configuración.

Remediación

Microsoft recomienda los siguientes pasos para solucionar este tipo de errores de configuración de Active Directory:

  • Vaya a la sección GPO Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Asignación de derechos de usuario.
  • Busque la directiva Permitir inicio de sesión a través de servicios de Escritorio remoto.
  • Después de que el servidor sea promovido a controlador de dominio, sólo el grupo Administradores (Domain Admins) debe permanecer en esta política local.

Protéjase de los errores de configuración de Active Directory

Una nota final: Si hay una razón por la que has modificado una configuración por defecto, documenta esos cambios. Esto le ayudará si necesita volver a la configuración predeterminada y restablecer los permisos válidos. Documentar las modificaciones también puede ayudar a otros (incluido el próximo administrador) a entender por qué se hicieron las modificaciones y evaluar si siguen siendo necesarias.

La mayoría de nosotros heredamos implementaciones de Active Directory que han existido durante un tiempo. Dedicar tiempo a reforzar estas configuraciones erróneas comunes de Active Directory -e implementar un proceso de documentación sólido- puede ayudar mucho a proteger su Active Directory de ataques. Lo mismo puede decirse de realizar una evaluación para detectar las vulnerabilidades más comunes. Descargue y ejecute nuestra herramienta gratuita de evaluación de la seguridad de AD Purple Knight para obtener una visión más clara de estas y otras cuestiones que debe incluir en su lista de tareas pendientes.