A finales del año pasado, la Agencia de Seguridad Nacional de Estados Unidos (NSA) y la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) publicaron una lista de las vulnerabilidades más comunes en las grandes redes informáticas. Esta lista de los diez principales errores de ciberseguridad de la CISA y la NSA revela debilidades sistémicas, especialmente en entornos Microsoft Windows y Microsoft Active Directory (aunque no exclusivamente).
Analice su entorno híbrido de Active Directory: Descargar Purple Knight
Tanto si su entorno se basa únicamente en Active Directory como si lo hace en combinación con otros sistemas de identidad, como Entra ID u Okta, abordar estas vulnerabilidades debería ser una prioridad absoluta.
¿Cuál es la lista de los diez principales errores de ciberseguridad de CISA y la NSA?
Basada en las evaluaciones de los equipos Rojo y Azul realizadas por el Defensive Network Operations (DNO) de la NSA y los equipos de Gestión de Vulnerabilidades (VM) y Caza y Respuesta a Incidentes del CISA, la lista de las diez principales desconfiguraciones de ciberseguridad del CISA y la NSA abarca tanto el sector público como el privado. El aviso también analiza las tácticas, técnicas y procedimientos (TTP) que los actores maliciosos despliegan para explotar las vulnerabilidades detalladas. Se aconseja a los propietarios y operadores de redes, independientemente de sus entornos de software específicos, que examinen rigurosamente sus sistemas para detectar estos errores de configuración.
¿Por qué debe centrarse en Active Directory?
No todos los problemas de la lista CISA/NSA tienen que ver directamente con Active Directory, pero muchos sí. El último Informe de Defensa Digital de Microsoft (MDDR, 2023) respalda la urgencia de abordar la seguridad de Active Directory.
El MDDR señaló que casi la mitad de los clientes implicados en el compromiso de Respuesta a Incidentes de Microsoft tienen configuraciones inseguras de Active Directory. Además, el informe afirma:
Las lagunas más frecuentes que encontramos durante los compromisos de respuesta reactiva a incidentes fueron:
- Falta de protección adecuada para las cuentas administrativas locales.
- Una barrera de seguridad rota entre la administración en las instalaciones y en la nube.
- Falta de adhesión al modelo del menor privilegio.
- Protocolos de autenticación heredados.
- Configuraciones inseguras de Active Directory.
Estas brechas permiten tácticas de ataque que van desde el Acceso Inicial hasta el Movimiento Lateral y la Persistencia.
Informe sobre defensa digital de Microsoft 2023
Active Directory es el sistema de identidad central de la mayoría de las organizaciones actuales, tanto públicas como privadas. Este servicio de directorio es fundamental para la gestión de identidades y accesos. La antigüedad del servicio -desarrollado hace décadas- y su papel crítico en la gestión del acceso en todo el entorno lo convierten en un objetivo clave para los ciberataques. Los entornos híbridos de Active Directory (aquellos que utilizan Active Directory más Entra ID u otro sistema de identidad) aumentan la superficie de ataque y pueden complicar los esfuerzos de seguridad.
¿Cómo puede solucionar los errores de configuración de Active Directory?
En Semperis, nuestro equipo de investigación mantiene una biblioteca de indicadores de seguridad para ayudarle a evaluar su postura de seguridad, cerrar rutas de ataque y detectar comportamientos nefastos. Los indicadores de exposición (IOE) señalan vulnerabilidades que los ciberatacantes pueden explotar (y a menudo lo hacen). Los indicadores de compromiso (IOC) le alertan de patrones asociados a comportamientos sospechosos, a menudo señales de una brecha, cuentas de puerta trasera y otras amenazas activas.
Nuestras herramientas de auditoría de Active Directory Directory Services Protector y la herramienta gratuita de la comunidad Purple Knight , utilizan estos indicadores cuando analizan su infraestructura de Active Directory. Los resultados proporcionan una imagen completa de su postura de seguridad de Active Directory, con orientación priorizada para mitigar los problemas identificados o, en el caso de Directory Services Protector, opciones de corrección automatizadas.
Semperis ha revisado las diez principales configuraciones erróneas de ciberseguridad de CISA y NSA desde la perspectiva de Active Directory. Este post -el primero de una serie de tres partes- le dará:
- Una explicación rápida de cada vulnerabilidad en relación con un entorno de identidad de Active Directory híbrido
- Riesgos asociados a la seguridad de la identidad
- Indicadores a tener en cuenta en Purple Knight o Directory Services Protector
En este artículo trataré los tres primeros puntos, y en las dos siguientes partes de la serie abordaré los errores de configuración restantes.
1. Configuraciones por defecto en software y aplicaciones
Las configuraciones "listas para usar" pueden ser un problema de seguridad importante. Esto se debe principalmente a que son bien conocidas y a menudo insuficientemente seguras para entornos de producción.
Los ajustes por defecto suelen estar diseñados para facilitar la implantación y la experiencia del usuario más que para la seguridad. Pueden incluir:
- Contraseñas sencillas
- Puertos abiertos innecesarios
- Cuentas de invitados activadas
- Permisos excesivos
Estas deficiencias son especialmente peligrosas cuando se trata de infraestructuras de red y aplicaciones de misión crítica, como Active Directory y Entra ID.
Riesgos para la seguridad de la identidad
Active Directory es el repositorio de todos los recursos de red, incluidas las cuentas de usuario, las políticas de grupo y los controles de acceso. Si se ve comprometido, puede proporcionar a un atacante las "llaves del reino". Entra ID, que extiende estas funcionalidades a los recursos en la nube, también puede ser un objetivo lucrativo. Si cualquiera de los dos servicios de directorio se ve comprometido, los efectos pueden ser catastróficos, provocando violaciones de datos y accesos no autorizados a recursos sensibles.
El uso de configuraciones por defecto puede llevar a varios riesgos de seguridad, incluyendo:
- Acceso no autorizado
- Escalada de privilegios
- Movimiento lateral dentro de la red
- Exfiltración de datos
En el contexto de Active Directory, un atacante podría explotar la configuración por defecto para obtener una posición inicial comprometiendo credenciales débiles por defecto.
Indicadores de exposición e indicadores de compromiso
En Purple Knight y Directory Services Protector, los siguientes indicadores pueden alertarle de la existencia o explotación de configuraciones por defecto:
- El servicio Print Spooler está activado en un DC. Se han encontrado varios fallos críticos en los servicios de cola de impresión de Windows. Estos fallos afectan directamente a los spoolers de impresión que están instalados en los controladores de dominio, permitiendo la ejecución remota de código.
- Los usuarios sin privilegios pueden añadir cuentas de ordenador al dominio. Los ataques basados en Kerberos pueden abusar de esta capacidad.
- Acceso anónimo a Active Directory habilitado. El acceso anónimo puede permitir a usuarios no autenticados consultar Active Directory.
- Replicación NTFRS SYSVOL. NTFRS es un protocolo antiguo que ha sido sustituido por DFSR. Los atacantes pueden manipular vulnerabilidades NTFRS para comprometer SYSVOL y potencialmente cambiar GPOs y scripts de inicio de sesión para propagar malware y moverse lateralmente a través del entorno.
- Configuración DNS no segura. Los atacantes pueden aprovechar este tipo de configuración para añadir un nuevo registro DSN o reemplazar un registro DNS existente para falsificar una interfaz de gestión. A continuación, pueden esperar conexiones entrantes y robar credenciales.
- Los usuarios no administradores pueden crear inquilinos en Entra ID. Los inquilinos mal configurados que están vinculados a usuarios del inquilino padre (organización) son más fáciles de comprometer. Tales inquilinos no son monitoreados o asegurados apropiadamente.
2. Separación inadecuada de privilegios de usuario/administrador
La separación inadecuada de privilegios es un problema generalizado en muchos entornos informáticos. Esta práctica conduce a menudo a la concesión de derechos administrativos a usuarios que no los necesitan para sus tareas cotidianas, lo que constituye una violación del principio del menor privilegio.
A los usuarios se les suelen conceder privilegios administrativos al incluirlos en grupos privilegiados (como los administradores de dominio en Active Directory) o al concederles acceso de administrador local en sus estaciones de trabajo. Los culpables varían:
- Modelos de acceso heredados
- Conveniencia
- Controles de acceso deficientes
- Supervisión
El problema se agrava al conceder privilegios persistentes en lugar de concederlos condicionalmente, según sea necesario.
Riesgos para la seguridad de la identidad
Esta mala configuración hace que toda la red sea vulnerable. Los usuarios con privilegios administrativos pueden realizar amplios cambios en Active Directory, afectando a las políticas de grupo, la configuración de seguridad y otros componentes críticos de la infraestructura.
Entra ID se enfrenta a riesgos similares. Además, las aplicaciones SaaS integradas y los recursos basados en la nube podrían verse comprometidos.
Indicadores de exposición e indicadores de compromiso
En Purple Knight y Directory Services Protector, los siguientes indicadores pueden alertarle de una separación inadecuada de privilegios:
- Cuenta de administrador de dominio integrada utilizada en las últimas dos semanas. Presta mucha atención a este indicador, ya que podría señalar a un usuario comprometido.
- Cambios en la pertenencia a grupos privilegiados en los últimos 7 días. Este indicador puede señalar un intento de escalar privilegios.
- Cuentas de ordenador en grupos privilegiados. Si una cuenta de equipo es miembro del grupo privilegiado del dominio, cualquiera que comprometa la cuenta de equipo puede actuar como miembro de ese grupo.
- Cuentas de administrador habilitadas que están inactivas. Los atacantes que comprometen estas cuentas pueden entonces operar desapercibidos.
- Administradores efímeros. Estas cuentas efímeras podrían indicar actividad maliciosa.
3. Insuficiente supervisión interna de la red
Esta configuración errónea es un descuido crítico. Puede dejar a su organización vulnerable a intrusiones no detectadas, amenazas internas y actividades maliciosas.
Una supervisión insuficiente de la red interna puede deberse a varios problemas:
- Falta de herramientas adecuadas
- Cobertura insuficiente del tráfico de red
- Mecanismos de alerta inadecuados
- Ausencia de un equipo dedicado a analizar los datos de vigilancia
Muchas organizaciones se centran en la defensa del perímetro. Pero a menudo se descuida el tráfico interno, dando por sentado que la red interna es segura. Este descuido es problemático. Una vez que un atacante atraviesa el perímetro, a menudo puede moverse lateralmente sin apenas resistencia ni detección.
En concreto, los activos internos críticos como Active Directory, que actúa como columna vertebral para la autenticación y autorización en entornos basados en Windows, son objetivos de alto valor. La falta de una supervisión robusta de Active Directory puede dejar a su organización ciega ante anomalías internas que indiquen una brecha o actividades no autorizadas.
Riesgos para la seguridad de la identidad
En un contexto de Active Directory, esta mala configuración puede llevar a pasar por alto indicadores de compromiso, incluyendo:
- Intentos inusuales de inicio de sesión
- Cambios en las políticas de grupo
- Creación de cuentas privilegiadas
En Entra ID, una vigilancia insuficiente puede llevar al fracaso de la captura:
- Actividades de registro anómalas
- Acceso no autorizado a los recursos de la nube
- Patrones de uso irregulares
Estos riesgos pueden dar lugar a filtraciones de datos, interrupción de servicios e importantes daños operativos y de reputación.
Indicadores de exposición e indicadores de compromiso
Semperis se enfoca en evaluar y mejorar la postura de seguridad del Directorio Activo local y Entra ID, más que en monitorear el tráfico de red. Nuestro objetivo principal es proporcionar información sobre la dinámica dentro de un entorno híbrido de Active Directory, identificando:
- Qué modificaciones se están realizando
- Quién inicia los cambios
- La naturaleza de las actividades de los usuarios
Purple Knight realiza una evaluación puntual del entorno híbrido de Active Directory. A continuación, la herramienta proporciona una lista priorizada de indicadores de seguridad y una guía de medidas correctivas.
Directory Services Protector lleva a cabo una vigilancia continua de los componentes de identidad críticos, como los objetos de directiva de grupo (GPO) y los permisos de acceso. Mediante la supervisión continua de su postura de seguridad de Active Directory, puede determinar si su postura de seguridad está mejorando o degradándose. También puede configurar la reversión automática de cambios sospechosos, así como activadores y alertas personalizados.
No se demore: audite Active Directory hoy mismo
Esto es todo por ahora. El próximo artículo de esta serie cubre las implicaciones de Active Directory en los siguientes cuatro puntos de la lista de los diez errores de ciberseguridad de CISA y NSA. Mientras tanto, por qué no descargar Purple Knight-es gratis- y ver si su organización está en riesgo de los indicadores discutidos esta semana.