Más de 20 años después de su introducción, la seguridad de Microsoft Active Directory sigue siendo fundamental para mantener a las empresas disponibles y centradas en sus resultados. En este artículo, aprenderá qué requiere la seguridad de Active Directory y qué prácticas recomendadas pueden ayudarle a adelantarse a los atacantes.
¿Qué es la seguridad de Active Directory?
En esencia, la seguridad de Active Directory consiste en permitir que los usuarios legítimos se autentiquen en la red y accedan a las aplicaciones y los datos que necesitan, al tiempo que se les protege de cualquiera que intente acceder a recursos o elevar privilegios para los que no están autorizados.
Active Directory posee efectivamente las "llaves del reino" al controlar la autenticación y autorización de la mayoría de las aplicaciones y datos locales de una organización. Por lo tanto, la seguridad de Active Directory es una prioridad fundamental para su empresa.
¿Cuáles son los principales riesgos, vulnerabilidades, exposiciones y amenazas para la seguridad de Active Directory?
La gestión de Active Directory puede ser compleja. Sin embargo, dado el propósito de Active Directory, la seguridad es primordial. Los errores de configuración, los usuarios con demasiados permisos y las vulnerabilidades sin parchear pueden contribuir a que los ciberatacantes exploten Active Directory.
Active Directory es a menudo un objetivo para los ciberdelincuentes que buscan elevar privilegios para penetrar en una red comprometida. Un ejemplo de este tipo de actividad se puede encontrar con la banda de ransomware CL0P, que se ha observado utilizando Cobalt Strike para ampliar el acceso a la red después de obtener acceso a un servidor Active Directory.
Al igual que comprometer Active Directory es una prioridad para los atacantes una vez que penetran en su red, protegerlo debe ser una prioridad para las empresas. El fortalecimiento de Active Directory comienza con la comprensión de su entorno y cómo los actores de amenazas lo atacan. A continuación se enumeran algunos problemas importantes de configuración y seguridad que afectan negativamente a Active Directory y aumentan el riesgo de un ciberataque.
Delegación Kerberos sin restricciones
Los actores de amenazas explotan la delegación sin restricciones para escalar su posición en el entorno objetivo. El abuso de esta configuración es otro ejemplo de cómo los atacantes utilizan funciones legítimas con fines maliciosos. En Active Directory, la delegación permite a un equipo guardar los vales de autenticación Kerberos de un usuario y utilizarlos para hacerse pasar por ese usuario y actuar en su nombre. Cuando la delegación sin restricciones está activada, un actor de amenaza puede hacerse pasar por un usuario legítimo y acceder a recursos sin ser detectado.
Un elevado número de usuarios en grupos privilegiados
No es infrecuente que las cuentas tengan privilegios que exceden lo necesario. Por ejemplo, un usuario puede cambiar de puesto de trabajo y tener un nuevo conjunto de permisos añadidos, sin que se le revoquen los antiguos que ya no necesita. O conceder privilegios excesivos a un usuario puede considerarse una forma rápida de hacer funcionar una aplicación. Esta situación es una señal de alarma: a medida que estos usuarios se añaden a grupos privilegiados, aumenta el riesgo que suponen para la organización en caso de verse comprometidos, ya que cada cuenta representa una vía potencial de escalada de privilegios para los atacantes que buscan moverse lateralmente por el entorno. También existe la posibilidad de que un usuario legítimo realice accidentalmente cambios no autorizados en Active Directory que afecten a la seguridad y al cumplimiento de las normativas.
Cuentas de servicio con privilegios elevados
Las cuentas de servicio son esencialmente cuentas de usuario a las que se otorgan permisos específicos en las aplicaciones que les permiten ejecutar estos servicios o aplicaciones. A veces, sin embargo, a estas cuentas se les asignan derechos de administrador que no son necesarios para ningún problema operativo potencial porque es una forma rápida de resolver problemas de configuración que, de otro modo, llevarían mucho tiempo. El hecho de que las cuentas de servicio a menudo tengan contraseñas débiles que están configuradas para no caducar nunca sólo aumenta su riesgo. Mediante la técnica Kerberoasting, un agente de amenazas puede obtener la contraseña débil de una cuenta de servicio en cuestión de minutos y, si esa cuenta tiene privilegios elevados, hacerse con el control de Active Directory.
Malas prácticas de autenticación y contraseñas
No aplicar políticas y prácticas de contraseñas seguras puede echar por tierra la mejor tecnología. Las contraseñas débiles pueden descifrarse mediante ataques de fuerza bruta y de diccionario. Las contraseñas comunes pueden adivinarse mediante ataques de pulverización de contraseñas. Basándose en las pruebas de los grandes proveedores de identidad en la nube, el NIST y otras organizaciones han recomendado cambios en las políticas de contraseñas de toda la vida, como no caducar la contraseña, disminuir la complejidad mientras se aumenta la longitud y prohibir las contraseñas comunes.
Los errores de configuración también pueden agravar los problemas. Por ejemplo, el ajuste Almacenar contraseña mediante cifrado reversible es necesario para admitir aplicaciones heredadas que necesitan contraseñas en texto claro para funcionar con normalidad. Sin embargo, como estas contraseñas son reversibles en lugar de hash, un atacante que descifre el cifrado puede secuestrar la cuenta. Cualquier aplicación que aún requiera esta configuración hace tiempo que debería haberse retirado, especialmente si se tiene en cuenta el mayor riesgo que supone para Active Directory.
Usuarios con derechos para añadir ordenadores a un dominio
Si un usuario tiene activada la opción de seguridad "Añadir estaciones de trabajo al dominio", por defecto podrá añadir hasta 10 equipos al dominio. El reto aquí es que un atacante puede utilizar esta capacidad para eludir los controles de seguridad de sus puntos finales. Cualquiera que añada una cuenta de máquina se convierte automáticamente en el propietario de ese objeto máquina.
Una vulnerabilidad común es causada por operadores que unen futuros controladores de dominio a su dominio de Active Directory antes de la promoción. Si no se transfiere la propiedad del objeto informático, ese operador tendrá control administrativo sobre el controlador de dominio una vez que haya sido promovido. Esta capacidad debe restringirse a cuentas específicas que la necesiten.
Ejemplos de violaciones recientes de Active Directory
No hace falta ir muy lejos para encontrar ejemplos de filtraciones de Active Directory que han causado importantes estragos y graves repercusiones para las organizaciones afectadas.
- Las ciudades de Dallas (Texas) y Oakland (California) llevan meses trabajando para recuperarse de ciberataques que afectaron a servicios municipales.
- El Barts Health NHS Trust de Londres, que atiende a más de 2 millones de pacientes, fue víctima de un ataque de BlackCat/ALPHV.
- Los ataques a distritos escolares de todo el país, incluidos los de Minnesota, Colorado y California, han expuesto datos privados de los estudiantes a agentes de amenazas.
- SolarWinds, víctima de uno de los ciberataques más conocidos de la historia reciente, anunció recientemente que sus ejecutivos se enfrentaban a cargos de la SEC estadounidense relacionados con su gestión del incidente.
- Dish Network informó de un ataque de ransomware en marzo que comprometió Active Directory y luego su infraestructura VMware, afectando a millones de abonados durante más de un mes.
Los atacantes saben que comprometer Active Directory abre la puerta a todo tipo de actividades maliciosas, desde el robo de datos al ransomware. En el ataque a Barts Health NHS Trust se robaron terabytes de datos. Un ataque con éxito puede equivaler a tiempo de inactividad, cobertura mediática desfavorable e impactos negativos en los clientes cuyos datos se vean comprometidos. Una vez que los atacantes están dentro de su red, limitar el daño que pueden hacer dependerá en parte de su capacidad para bloquearles el acceso a los recursos críticos. En el centro de estos esfuerzos se encuentra la seguridad de Active Directory.
Seguridad de Active Directory y gobernanza, riesgo y cumplimiento de normativas
Supervisar y proteger Active Directory es importante para algo más que la ciberdefensa. Active Directory es una fuente vital de información para las normativas de cumplimiento que exigen registros de auditoría y pruebas de los controles de acceso y las políticas en torno a los datos confidenciales. La auditoría periódica y la visibilidad completa son necesarias para cumplir las exigencias de normativas y estándares como HIPAA y PCI DSS. Una estrategia sólida de supervisión de la seguridad de Active Directory proporciona información importante para el cumplimiento de la normativa.
¿Cuáles son las mejores prácticas para proteger su Directorio Activo?
La clave para prevenir muchos de estos problemas reside en su capacidad para detectar configuraciones de riesgo y controlar cualquier cambio accidental o malintencionado. En un nivel fundamental, la reducción del riesgo consiste en aumentar la barrera de entrada para los atacantes, cerrando los agujeros de seguridad antes de que los atacantes puedan atravesarlos.
Mediante la ejecución periódica de evaluaciones de seguridad, puede detectar posibles amenazas antes de que sean explotadas. Un cambio de permiso en el objeto AdminSDHolder o un cambio reciente en el esquema del descriptor de seguridad predeterminado pueden ser señales de un ataque en curso. Si esos cambios no fueron aprobados, debería sonar una alarma inmediata.
La buena noticia es que las organizaciones pueden seguir varios consejos para limitar la superficie de ataque de Active Directory.
Aplicar políticas de contraseñas eficaces
Proteger las contraseñas e imponer su complejidad es fundamental como primera línea de defensa. Las contraseñas complejas deben tener al menos siete caracteres e incluir números, mayúsculas y minúsculas, y caracteres no alfanuméricos, como signos de exclamación y de dólar. Las organizaciones deben considerar el uso de la función de políticas de contraseñas detalladas en lugar de objetos de política de grupo (GPO) para implementar reglas más estrictas. Por ejemplo, se pueden crear políticas para aplicar diferentes reglas de bloqueo de cuentas a conjuntos específicos de usuarios en un mismo dominio.
Siga las directrices del NIST para la política de contraseñas, resumidas anteriormente. Las contraseñas deben almacenarse en una cámara acorazada. Además, las organizaciones deben asegurarse de que las contraseñas de directiva de grupo no se almacenan en ningún lugar de SYSVOL, que es un directorio que reside en cada controlador de dominio (DC) dentro de un dominio. SYSVOL contiene los GPO y los scripts de inicio de sesión que los clientes necesitan para acceder y sincronizar entre los DC. Si los administradores almacenan credenciales en carpetas de SYSVOL, éstas pueden ser robadas por un atacante que controle una cuenta comprometida.
Aplicar el principio del menor privilegio
Seguir el principio del mínimo privilegio es esencial para reducir la superficie de ataque de Active Directory, es decir, los distintos vectores de ataque contra los que debe protegerse su organización. Este enfoque exige que todos los usuarios, dispositivos y aplicaciones dispongan únicamente del número y nivel mínimos de permisos que necesitan para funcionar.
Ya sean heredados indebidamente, concedidos por accidente o acción maliciosa, o simplemente concedidos por conveniencia, los permisos de usuario excesivos suponen una amenaza directa para la seguridad de su entorno. También puede haber implicaciones relacionadas con el cumplimiento normativo en determinados sectores. Desde el principio, su entorno debe diseñarse para otorgar a las cuentas sólo los derechos mínimos necesarios. Los grupos con privilegios deberían tener un número limitado de miembros, y algunos, como los Operadores de Impresora, no deberían tener ninguno o estar restringidos para permitir únicamente la pertenencia temporal.
Manejar esto adecuadamente implicará entender claramente los roles de los usuarios, quién en la organización tendrá la autoridad para agregar usuarios a los grupos y cuándo pueden hacerlo. Audita tu entorno con regularidad para reducir el riesgo y eliminar las cuentas con privilegios excesivos.
Complicar el reconocimiento de Active Directory
Los atacantes a menudo llevan a cabo el reconocimiento de Active Directory Lightweight Directory Access Protocol (LDAP) para obtener información sobre el entorno y continuar su ataque. Active Directory fue diseñado para ser un libro abierto, lo que dificulta la prevención de este reconocimiento. Sin embargo, al eliminar los derechos de administrador local y supervisar las solicitudes LDAP sospechosas, las empresas pueden complicar las cosas a los atacantes. Además, aprovechando el aprovisionamiento justo a tiempo y renombrando las unidades organizativas (OU), se puede limitar la visibilidad de un atacante armado con una cuenta legítima.
Retirar los protocolos heredados
Las mejores prácticas exigen eliminar protocolos heredados como TLS 1.0 y 1.1, Server Message Block v1 (SMBv1), Digest Authentication y Lan Manager (LM) / NTLMv1 y NTLMv2. Estos protocolos no se diseñaron teniendo en cuenta las amenazas y necesidades de seguridad actuales y pueden constituir un punto débil en la defensa de su organización. NTLMv1 y NTLMv2, por ejemplo, son vulnerables a amenazas como los ataques de fuerza bruta y man-in-the-middle, y se aconseja a las organizaciones que cambien a Kerberos. Sin embargo, antes de retirar estos protocolos, el equipo de Active Directory debe asegurarse de que entiende perfectamente cómo se utilizan estos protocolos en el entorno para evitar romper la funcionalidad de cualquier aplicación en uso.
Parchee las vulnerabilidades de Active Directory y las configuraciones inseguras
Vulnerabilidades como Zerologon (CVE-2020-1472) suponen un riesgo significativo para Active Directory si las empresas se retrasan en la aplicación de parches. Debido a la importancia de Active Directory en su entorno de TI, los parches deben priorizarse, probarse y desplegarse lo antes posible. Los atacantes intentarán atacar primero las vulnerabilidades conocidas. Para reducir el riesgo, las empresas deben escanear sus sistemas con regularidad y priorizar la aplicación de parches a las vulnerabilidades en función de su gravedad y del impacto potencial en las operaciones de negocio si son explotadas. Además, el software obsoleto debe identificarse y actualizarse lo antes posible.
Ir a por la fruta madura no se limita a parchear vulnerabilidades. También implica identificar configuraciones inseguras que conceden a los usuarios permisos innecesarios o facilitan la escalada de privilegios. Tanto si esos errores de configuración se deben a negligencias, cambios accidentales o acciones malintencionadas, es necesario realizar evaluaciones de seguridad periódicas.
Tomando estas medidas, su organización puede construir muros alrededor de sus usuarios, datos confidenciales y sistemas que reducirán el riesgo y harán que el entorno de Active Directory sea más resistente frente a los ataques.
¿Cómo puede ayudarle Semperis a garantizar la seguridad de Active Directory?
En Semperis, ayudamos a las organizaciones a garantizar la integridad y disponibilidad del Directorio Activo local y Entra ID con soluciones que pueden ayudarles a identificar, recuperarse y responder a los ataques.
- Evalúe la superficie de ataque de su Active Directory híbrido con herramientas gratuitas como Purple Knight y Forest Druid.
- Implemente la reversión automática de cambios sospechosos en Active Directory con Directory Services Protector ( DSP).
- Acelere y simplifique el proceso de recuperación de Active Directory con Active Directory Forest Recovery ( ADFR).
- Modernización y migración seguras de Active Directory con la ayuda experta de Semperis.
- Optimice su arquitectura y configuraciones de seguridad, procedimientos operativos y planes de reparación y recuperación con la ayuda de los servicios de preparación y respuesta ante infracciones de Semperis.
Descubra las soluciones expertas de detección y respuesta ante amenazas a la identidad (ITDR) y de seguridad y recuperación de Active Directory.