Entender cómo se producen los ataques es una parte fundamental de la formación de una defensa de ciberseguridad. Con esto en mente, recientemente me uní a Andy Robbins, co-creador de la herramienta de descubrimiento de rutas de ataque de código abierto, BloodHound, para un seminario web que describió cómo los atacantes atacan Active Directory (AD).
Durante la presentación, pusimos de relieve una verdad incómoda: el centro de los servicios de identidad empresarial es ahora una jugosa pieza madura de fruta madura. No es de extrañar que Active Directory sea una fuente de interés para los atacantes, pero a menudo se subestima hasta qué punto se ha convertido en un objetivo fácil.-probablemente porque su estatus como eslabón débil en la cadena de seguridad no se debe a vulnerabilidades de código de alto perfil. En realidad, en muchos casos, las puertas más anchas para los atacantes son las que abren las configuraciones comunes de despliegue y los errores de gestión.
Por qué AD es un blanco fácil
El hecho es que AD no se creó teniendo en cuenta los retos de seguridad modernos. En el pasado, tanto los hackers como los atacantes se basaban en exploits del lado del servidor para comprometer los sistemas. Una vez dentro, utilizaban contraseñas comunes de administrador local para moverse lateralmente por la red. Hoy en día, disponen de técnicas más fiables que tienen un menor riesgo de detección o de provocar una caída del sistema. Estas técnicas aprovechan herramientas como BloodHound y abusan de protocolos integrados en el sistema operativo Windows y en el propio AD.
BloodHound, por ejemplo, puede apuntarse a Active Directory y utilizarse para identificar rutas de ataque y encontrar la forma más fácil para los actores de amenazas de elevar privilegios en un entorno. Esto es posible porque, por defecto, los usuarios del dominio tienen acceso de lectura para cualquier objeto en AD. Desafortunadamente, para muchas empresas, la complejidad de las aplicaciones y la infraestructura hace que sea difícil eliminar el acceso a los objetos que podrían interesar a los atacantes, dejando una puerta potencial abierta para que los atacantes realicen un reconocimiento.
Tal es la realidad de la seguridad de AD. Si bien las vulnerabilidades relacionadas con el código pueden solucionarse aplicando las últimas actualizaciones de seguridad lo antes posible, es la forma en que AD se despliega en un entorno lo que a menudo constituye el mayor reto para la seguridad. Los retos a los que se enfrentan las organizaciones aumentan a medida que el entorno de AD se vuelve más complejo. A medida que se añaden o eliminan usuarios y grupos, la probabilidad de que se produzcan errores de configuración mientras el equipo de TI trabaja para mantener configuraciones y políticas coherentes seguirá aumentando. Estos errores pueden adoptar muchas formas, desde la delegación sin restricciones hasta no tener en cuenta los permisos heredados al anidar un grupo.
Pero como dice el refrán, más vale prevenir que curar. Endurecer Active Directory significa algo más que aplicar parches. También significa cerrar las puertas abiertas por problemas como la mala gestión de grupos, y para ello, las organizaciones necesitan saber qué buscar.
Reducir el riesgo mediante la visibilidad
Los problemas más críticos son los que podrían permitir la escalada de privilegios y el movimiento lateral por parte de los atacantes. Consideremos dos ataques comunes.
Primer incidente: los atacantes tienen como objetivo el AdminSDHolder objeto. Los atacantes intentan modificar la lista de control de acceso (ACL) para cambiar los permisos de los objetos privilegiados a través de AdminSDHolder. Si tienen éxito, esto daría a cualquier cuenta que añadieran a la ACL los privilegios de otras cuentas de un grupo.
Segundo incidente: los intrusos lanzan ataques Golden Ticket. Los ataques Golden Ticket tienen como objetivo Kerberos, e involucran a atacantesque han obtenido el hash de la contraseña del archivo krbtgt para escalar privilegios e iniciar sesión en cualquier servicio como cualquier usuario. servicio como cualquier usuario.
En esencia, la defensa contra estos y otros ataques se reduce a supervisar AD en busca de actividades sospechosas. Para hacerlo con eficacia, es importante aprovechar la información sobre las tácticas de los atacantes. Reducir el panorama de amenazas mediante acciones como la revisión de permisos y la aplicación del principio del menor privilegio en los grupos de AD, el uso de contraseñas complejas y la garantía de que las actualizaciones de seguridad de los servidores AD reciban la máxima prioridad no es más que una pieza de la ecuación de una defensa sólida. La otra requiere la capacidad de detectar y responder dinámicamente a las amenazas a medida que aparecen.
Semperis se ha movilizado recientemente para ayudar a sus clientes a afrontar este reto tecnológico. En junio, lanzamos Directory Services Protector (DSP) v3.0, que proporciona supervisión continua y evaluación de vulnerabilidades. DSP analiza Active Directory en busca de indicadores de exposición y, a continuación, prioriza las vulnerabilidades en función de su riesgo. Esta capacidad se ve reforzada por una combinación de inteligencia de amenazas integrada y la orientación de una comunidad de investigadores de seguridad. A medida que se descubren nuevas investigaciones sobre amenazas, se añaden dinámicamente indicadores de seguridad adicionales para detectar nuevas técnicas de ataque.
Armado con la información más actualizada sobre amenazas, Semperis DSP puede utilizar su nueva función de corrección automática para deshacer cambios operativos o relacionados con la seguridad sin la intervención de ningún administrador. Con la corrección automática, su organización puede deshacer cambios sospechosos y evitar daños mayores antes de que se produzcan. También ofrece a las organizaciones la capacidad de detectar cambios y eliminaciones en todas las particiones de AD y objetos de directiva de grupo, incluso si el atacante elude el registro.
Prevención en acción
La buena noticia sobre la seguridad de AD es que los medios para prevenir los ataques están justo delante de nosotros. En Semperisactualizamos actualizamos periódicamente una lista de indicadores de amenazas que permiten a las empresas cerrar la puerta a los tipos de agujeros de seguridad que hacen las delicias de los atacantes. Tomemos, por ejemplo, los cambios recientes en la política de dominio por defecto o en los controladores política GPOs. Este tipo de modificación puede ser señal de que los atacantes están activos en el entorno, ya que estos objetos de directiva de grupo (GPO) controlan la configuración de seguridad y pueden utilizarse para obtener acceso privilegiado a AD. Otro ejemplo es un cambio inesperado en el descriptor de seguridad predeterminado por defecto en una clase de objeto en el esquema-un objetivo jugoso para los atacantes porque cualquier cambio puede propagarse a los objetos recién creados.
El uso de indicadores de amenazas para ayudar en los esfuerzos de supervisión mejora la eficacia de los controles de seguridad en torno a AD. Cuando se combina con la capacidad de deshacer cambios y realizar evaluaciones de vulnerabilidad que marcan las cuentas de usuario con controles de riesgo, se reduce la probabilidad de que el comportamiento malicioso afecte a AD y pase desapercibido.
Los actores de amenazas toman el camino de menor resistencia hacia sus objetivos. Mientras la puerta de entrada esté abierta debido a errores de configuración o al funcionamiento de AD, los atacantes seguirán acercándose a su empresa'de su empresa. Para reforzar AD, los equipos de TI deben aprovechar la información sobre las tácticas de sus adversarios y centrar sus esfuerzos de seguridad en poner el mayor número posible de obstáculos digitales ante las rutas de ataque.