Daniel Petri | Director de Formación

La inyección del historial del identificador de seguridad (SID) es un sofisticado vector de ciberataque dirigido a entornos de Active Directory de Windows. Este ataque explota el atributo SID History, cuyo objetivo es mantener los derechos de acceso de los usuarios durante las migraciones de un dominio a otro. Al inyectar valores SID maliciosos en este atributo, un atacante puede escalar privilegios y obtener acceso no autorizado a recursos dentro del entorno Active Directory.

¿Qué es la inyección del historial del SID?

La inyección del historial de SID implica la modificación no autorizada del atributo del historial de SID de una cuenta de usuario comprometida en Active Directory. Este atributo normalmente almacena SIDs anteriores de dominios más antiguos cuando un usuario o grupo es migrado a un nuevo dominio. El propósito es mantener el acceso del usuario o grupo a los recursos.

Los atacantes explotan esta característica insertando en el atributo un SID que corresponde a un grupo con privilegios elevados, como Administradores de dominio. El atacante puede entonces utilizar la cuenta para escalar privilegios, crear puertas traseras o exfiltrar datos.

SID La inyección de historial se considera un vector de ataque sofisticado porque:

  • Requiere un profundo conocimiento de Active Directory y privilegios elevados
  • Elude las medidas de seguridad estándar que buscan cambios directos en la pertenencia a un grupo.
  • Aprovecha un profundo conocimiento de Active Directory y de los mecanismos de autenticación de Windows.

¿Cómo funciona la inyección del historial del DIM?

Ciertos elementos pueden hacer que los entornos sean especialmente vulnerables a la inyección de SID History. Estos aspectos incluyen:

  • Sistemas heredados: Los sistemas heredados, en particular los que han pasado por varias migraciones de dominio, pueden conservar protocolos y configuraciones de seguridad obsoletos que no se ajustan a las mejores prácticas de seguridad modernas. Estos sistemas suelen tener atributos de historial de SID residuales que podrían pasarse por alto durante las auditorías de seguridad.
  • SID pasados por alto: Durante las migraciones, los atributos del historial de SID pueden acumularse. Los SID antiguos que ya no son relevantes o que han sido dados de baja podrían no borrarse correctamente, dejando una puerta trasera a los atacantes.
  • Migraciones complejas: En entornos complejos en los que las migraciones implican la consolidación de múltiples dominios, el Historial de SID puede convertirse en un repositorio de numerosos SID heredados, lo que aumenta la superficie de ataque.
  • Permisos mal configurados: La configuración adecuada de los permisos dentro de Active Directory es crítica. Los permisos mal configurados que permiten a las cuentas no administrativas escribir en los atributos del historial de SID pueden ser catastróficos.
  • Controles de acceso demasiado amplios: Conceder permisos amplios puede dar lugar a que usuarios no administrativos tengan la capacidad de modificar atributos sensibles, ya sea directamente o a través de la pertenencia a grupos.
  • Administración delegada: En las grandes organizaciones, la delegación de tareas administrativas es habitual. Si no se supervisa adecuadamente, esto puede llevar a que los usuarios tengan más permisos de los necesarios, incluida la capacidad de alterar el Historial del SID.
  • Falta de sistemas de alerta: Muchas organizaciones no tienen sistemas de alerta configurados para notificar cambios en atributos críticos dentro de Active Directory.
  • Políticas de auditoría inadecuadas: Active Directory podría no tener configurados los parámetros de auditoría por defecto para realizar un seguimiento de los cambios en los atributos del Historial de SID, especialmente si la organización no ha identificado la inyección del Historial de SID como un riesgo potencial.

Un ataque de inyección de historial SID implica varios pasos que permiten al atacante aumentar su control sobre el entorno comprometido.

Etapa 1. Compromiso inicial

Un atacante suele iniciar un ataque de inyección de historial SID ganando primero un punto de apoyo dentro de la red. Esta brecha se puede lograr a través de varios métodos:

  • Phishing: envío de correos electrónicos falsos que parecen legítimos, engañando a los usuarios para que proporcionen sus credenciales.
  • Aprovechamiento de vulnerabilidades conocidas: Dirigirse a sistemas sin parches o utilizar exploits de día cero.
  • Ingeniería social: Manipulación de personas para que infrinjan los protocolos de seguridad estándar.

En un ejemplo, los atacantes tenían como objetivo una institución financiera. Los delincuentes engañaron a un empleado para que abriera un documento que explotaba una vulnerabilidad en el software de lectura de documentos de la empresa. Esta vulnerabilidad llevó a la ejecución de código malicioso y al establecimiento de una puerta trasera.

Paso 2: Enumeración del entorno AD

Una vez dentro, el atacante enumera el entorno de Active Directory. Este paso puede implicar el uso de:

  • Consultas LDAP para recuperar información sobre cuentas de usuario y sus permisos asociados
  • Scripts PowerShell para automatizar la recopilación de datos relativos a la estructura de Active Directory
  • Herramientas de reconocimiento de Active Directory como BloodHound, que pueden ilustrar las relaciones de privilegios en Active Directory.

Esta enumeración permite a los atacantes descubrir cuentas con privilegios elevados (pero poco controlados).

Paso 3: Modificación del historial del SID

Armado con el acceso correcto, el atacante entonces procede a:

  • Identifique una cuenta objetivo: Puede tratarse de una cuenta que no se utilice o controle mucho, lo que se conoce como cuenta huérfana.
  • Modificar el atributo SID History: Utilizando una herramienta como Mimikatz, el atacante inyecta un SID en el Historial de SID de la cuenta objetivo. Este SID coincide con el SID de un grupo con privilegios elevados, como los administradores de dominio.

Un caso notable fue el de una empresa tecnológica. Un atacante añadió el SID del grupo Enterprise Admins a una cuenta de servicio que normalmente no requería privilegios tan altos.

Paso 4: Escalada de privilegios

Con el atributo SID History modificado, el atacante puede ahora:

  • Acceso a recursos: La cuenta objetivo -y por tanto el atacante- puede ahora acceder a recursos que sólo están permitidos al grupo de privilegios elevados coincidente.
  • Crear puertas traseras: El atacante puede establecer cuentas adicionales o modificar las existentes para asegurar el acceso persistente en el entorno.

Durante la brecha de una entidad gubernamental, los actores maliciosos utilizaron este método para escalar privilegios y crear cuentas de puerta trasera para el acceso persistente. A continuación, los agresores utilizaron esas cuentas para filtrar datos confidenciales durante un largo periodo de tiempo.

¿Qué riesgos conlleva la inyección del Historial SID?

Los riesgos de la inyección de Historia SID incluyen:

  • Acceso no autorizado: Los atacantes acceden a zonas sensibles de la red, lo que provoca filtraciones de datos.
  • Escalada de privilegios: Los atacantes elevan privilegios sin modificar directamente la pertenencia a grupos para evitar ser detectados.
  • Persistencia: Los atacantes pueden utilizar SIDs inyectados para mantener el acceso incluso después de un cambio de contraseña o desactivación de la cuenta.
  • Movimiento lateral: La inyección de Historia SID facilita el movimiento lateral dentro de la red, lo que lleva a un compromiso más amplio.

Los ciberatacantes han utilizado este método en intrusiones de varias fases, agravando la brecha inicial mediante la inyección de historial SID y causando una importante exfiltración de datos y daños en el sistema.

¿Cómo detectar un ataque de inyección de historial SID?

Para detectar la inyección del historial SID:

  • Revise los registros de auditoría: Revise regularmente los registros de auditoría de Active Directory en busca de modificaciones inesperadas en el atributo SID History.
  • Configurar alertas SIEM: Configure los sistemas de Información de Seguridad y Gestión de Eventos (SIEM) para alertar sobre las modificaciones del Historial SID. Sin una supervisión adecuada, los cambios en los atributos del historial de SID pueden pasar desapercibidos.
  • Audite regularmente la superficie de ataque de Active Directory: Utilice herramientas de seguridad de Active Directory para buscar cuentas con atributos SID History que no coincidan con las migraciones conocidas. Estas herramientas también pueden detectar indicadores de peligro que los sistemas SIEM podrían pasar por alto.

¿Cómo se puede mitigar un ataque de inyección de historial SID?

Comprendiendo y abordando los aspectos vulnerables, las organizaciones pueden reducir significativamente el riesgo de inyección de historial SID. Entre las estrategias de mitigación se incluyen las siguientes:

  • Actualice los sistemas heredados: Actualice o desmantele los sistemas heredados y asegúrese de que todos los atributos del historial de SID se gestionan y borran adecuadamente durante las migraciones de dominio.
  • Revise los permisos: Verificar que sólo las cuentas de confianza tienen permisos para escribir en el atributo Historial SID.
  • Aplique el privilegio mínimo: Audite periódicamente los permisos y compruebe que sólo se conceden a los usuarios los derechos necesarios.
  • Utilizar soluciones PAM: Implemente soluciones de gestión de acceso privilegiado (PAM) para limitar y controlar el acceso privilegiado.
  • Mejore la supervisión: Implemente soluciones avanzadas de supervisión de Active Directory que alerten sobre cambios en atributos críticos como el historial de SID.
  • Parchear y actualizar: Mantenga todos los sistemas parcheados y actualizados para evitar los vectores de compromiso iniciales.

Además, los administradores de Active Directory deben tomar las siguientes medidas:

  • Activar auditoría: Audite Active Directory en busca de cambios en el historial de SID. Lo ideal es activar la reversión automática de dichos cambios hasta que se pueda verificar que son legítimos.
  • Implantar el mínimo privilegio: Aplique el principio de mínimo privilegio a todas las cuentas de Active Directory.
  • Educar al personal: Formar al personal informático para que reconozca los signos de la inyección del historial SID y responda adecuadamente.
  • Realice revisiones periódicas: Realiza revisiones periódicas del acceso de los grupos con privilegios elevados.

Protección contra la inyección de historial SID

La inyección del historial del SID es un ataque sigiloso que puede provocar importantes brechas de seguridad. La sutileza y complejidad del ataque lo hacen especialmente peligroso, ya que a menudo puede pasar desapercibido sin controles específicos y una supervisión centrada en el atributo SID History. Los incidentes de la vida real subrayan la necesidad de medidas de seguridad sólidas y de una vigilancia constante.

Las organizaciones deben establecer prácticas de seguridad sólidas -incluida la supervisión periódica, el acceso con privilegios mínimos y la educación de los usuarios- para protegerse contra este tipo de ataques.
Las organizaciones también deben permanecer vigilantes y proactivas en la protección de sus entornos de Active Directory para contrarrestar la inyección de historial SID y otras amenazas emergentes.