Active Directory (AD) es la piedra angular de la mayoría de las redes empresariales, que proporciona autenticación centralizada, autorización y control de acceso a una miríada de recursos. Sin embargo, la complejidad de la configuración de AD a menudo hace que el servicio sea un objetivo principal para los actores maliciosos que buscan explotar las debilidades en la postura de seguridad de una organización. Varios errores de configuración -por ejemplo, el uso indebido de una funcionalidad integrada en AD que es responsable de algunas réplicas de AD- pueden conducir a tales vulnerabilidades. Mediante la manipulación de esta potente función, los atacantes pueden obtener acceso a datos confidenciales, concretamente a los hashes de contraseñas, que se almacenan en la base de datos de AD en los controladores de dominio (DC).
¿Qué es un ataque de DCSync?
Un ataque de DCSync es un método que los actores maliciosos pueden utilizar para hacerse pasar por un DC aprovechando el Protocolo remoto de servicios de replicación de directorios (DRS) para solicitar datos de contraseñas de un DC objetivo. Por su diseño, el protocolo remoto DRS permite una sincronización eficaz de los objetos de servicios de directorio y sus atributos en todos los DC de un bosque de AD. Sin embargo, los atacantes pueden aprovechar esta funcionalidad para obtener acceso no autorizado a las credenciales de los usuarios y, potencialmente, escalar sus privilegios dentro de la red.
Aunque esta funcionalidad es fundamental para la correcta replicación de un entorno de AD, sólo un número limitado de responsables de seguridad deberían tener los derechos necesarios para realizar estas acciones. Lamentablemente, una configuración incorrecta o la falta de concienciación pueden llevar a la asignación de estos derechos a responsables de seguridad no predeterminados, creando un riesgo potencial para la seguridad.
¿Cómo pueden afectar a la seguridad unos derechos de replicación de AD incorrectos?
De forma predeterminada, se conceden derechos específicos a través de los derechos ampliados Replicar cambios de directorio y Replicar cambios de directorio, todos dentro de AD. Estos derechos permiten a un responsable de seguridad replicar objetos de directorio y sus atributos, incluidos datos de contraseñas confidenciales, de un DC a otro. Aunque estos derechos son necesarios para propósitos legítimos de replicación, los actores maliciosos pueden explotar los derechos para realizar ataques de DCSync, exfiltrando hashes de contraseñas y otra información sensible del DC.
El impacto de un ataque de este tipo puede ser grave. Los ataques de DCSync pueden permitir a los atacantes hacerse pasar por usuarios legítimos, escalar privilegios y moverse lateralmente dentro de la red. En el peor de los casos, el atacante puede obtener privilegios de administrador de dominio y tomar el control completo de la infraestructura de AD.
¿Qué herramientas pueden utilizar los atacantes para montar un ataque de DCSync?
Actualmente existen varias herramientas para montar un ataque de DCSync:
- Mimikatz es una potente herramienta de post-explotación que puede extraer contraseñas en texto plano, hashes y tickets Kerberos de la memoria. Esta herramienta incluye un módulo DCSync que los actores de amenazas pueden utilizar para realizar ataques de DCSync y extraer hashes de contraseñas de los DC.
- Impacket es una colección de clases Python para trabajar con protocolos de red. Esta herramienta incluye un script llamado secretsdump.py que permite realizar ataques de DCSync.
- PowerShell Empire es un marco de trabajo de post-explotación que proporciona una variedad de módulos para operaciones ofensivas de seguridad. Uno de los módulos, Invoke-DCSync, permite realizar ataques de DCSync.
Identificación de responsables de seguridad por defecto con derechos de replicación incorrectos
Por defecto, estos derechos se asignan a un número limitado de responsables de seguridad, entre los que suelen figurar:
- Administradores de dominio
- Administradores de empresa
- Administradores
- Controladores de dominio
- Controladores de dominio de sólo lectura
Estos responsables de seguridad suelen ser de confianza y tienen los privilegios necesarios para realizar tareas de replicación de directorios dentro del dominio. El riesgo surge cuando a los responsables de seguridad no predeterminados se les conceden inadvertidamente derechos de replicación, lo que ofrece a los atacantes la oportunidad de explotar la función.
Busque cuentas en las que se deleguen los siguientes derechos:
- Replicación de cambios de directorio (DS-Replication-Get-Changes)
- Replicación de todos los cambios de directorio (DS-Replication-Get-Changes-All)
- Replicación de cambios de directorio en conjunto filtrado (DS-Replication-Get-Changes)
Determine si DCSync se está utilizando para alojar otros DC y determine si alguna cuenta que no sea miembro de Administradores de dominio o Controladores de dominio tiene estos derechos.
Técnicas para descubrir responsables de seguridad no predeterminados con derechos de réplica
Para identificar y gestionar de forma proactiva el riesgo asociado a un ataque de DCSync, es esencial supervisar y auditar su entorno de AD para detectar los responsables de seguridad no predeterminados que poseen estos derechos. Puede emplear varios métodos:
- Utilice herramientas integradas de AD como ACL Diagnostics o Ldp para consultar las listas de control de acceso (ACL) del objeto de dominio.
- Aproveche las secuencias de comandos de PowerShell para enumerar los responsables de seguridad con derechos de DCSync.
- Implantar soluciones de auditoría especializadas en la detección de errores de configuración y riesgos de seguridad de AD, tales como Purple Knight.
Prácticas recomendadas para mitigar los riesgos asociados al ataque de DCSync
Para minimizar los riesgos asociados con el ataque de DCSync, considere implementar estas mejores prácticas:
- Limite el número de responsables de seguridad con derechos de replicación a sólo aquellos que requieran absolutamente esos derechos.
- Revise y audite periódicamente su entorno AD para identificar a los responsables de seguridad no predeterminados con estos derechos y elimine cualquier permiso innecesario.
- Aplicar el principio del mínimo privilegio, garantizando que los usuarios y grupos sólo tengan el nivel mínimo de acceso necesario para realizar sus tareas.
- Utilice contraseñas fuertes y únicas para todas las cuentas privilegiadas para reducir el riesgo de compromiso de credenciales.
- Supervise y registre continuamente los eventos de seguridad dentro de su entorno de AD para detectar y responder a las amenazas potenciales de manera oportuna.
Formación y sensibilización del personal informático y los equipos de seguridad
Es esencial educar al personal de TI y a los equipos de seguridad sobre los riesgos potenciales asociados con estos derechos. Al concienciar sobre este posible ataque, aumentará la seguridad de su entorno de AD. Organice sesiones de formación y talleres con regularidad para asegurarse de que sus equipos están al día en las últimas prácticas recomendadas de seguridad, información sobre amenazas y estrategias de defensa eficaces.
Información actualizada sobre amenazas
El panorama de las amenazas evoluciona constantemente. Mantenerse informado sobre las últimas amenazas y técnicas de ataque es crucial para mantener un entorno de AD seguro. Suscríbase a las noticias del sector, los blogs de seguridad y los feeds de inteligencia sobre amenazas para mantenerse al día de las amenazas emergentes, las vulnerabilidades y las mejores prácticas. Comparta esta información con su personal de TI y equipos de seguridad para asegurarse de que permanecen alerta y preparados para contrarrestar posibles ataques de DCSync.
En resumen, la defensa de su entorno de AD contra los ataques de DCSync (así como contra las demás amenazas) requiere una estrategia integral. Esto implica llevar a cabo auditorías regulares, adherirse a las mejores prácticas, invertir en iniciativas de educación y concienciación, y mantenerse al día con la información de amenazas más reciente. Al abordar de forma proactiva los problemas de seguridad, puede mitigar eficazmente los riesgos asociados a los derechos de DCSync, garantizando la protección de los valiosos recursos de su organización.