Seis rutas de ataque en Active Directory y cómo remediarlas

Uno de los activos más valiosos para un atacante que logra infiltrarse en un entorno corporativo es Active Directory Domain Services (AD DS). Existen varias rutas de ataque que el blue team debe abordar para reforzar la seguridad de Active Directory. Remediar estos ataques y proteger el entorno puede requerir días o semanas de trabajo, pero el esfuerzo compensa con creces los beneficios en seguridad. 

A continuación, veremos seis de las rutas de ataque más importantes que debes remediar si quieres mejorar la seguridad de Active Directory en tu organización: 

• Contraseñas débiles 
• Ataques pass-the-hash 
• Kerberoasting 
• Ataques de golden ticket 
• Ataques DCSync 
• Aplicaciones integradas con AD con seguridad débil 

1. Contraseñas débiles y comprometidas

¿Por qué perder tiempo intentando comprometer un entorno si puedes entrar por la puerta principal con credenciales robadas? Las contraseñas débiles generan todo tipo de problemas de seguridad en Active Directory. Cuando las contraseñas son demasiado simples, los atacantes pueden adivinarlas o crackearlas mediante técnicas como los ataques por fuerza bruta o el password spraying. 

Las organizaciones pueden implementar rápidamente nuevas reglas de contraseñas para aumentar la seguridad: por ejemplo, bloquear términos muy usados, secuencias de teclado y diccionarios personalizados relevantes para la empresa. Los usuarios deberán cambiar su contraseña en su próximo inicio de sesión para cumplir con estos nuevos requisitos. 

Pero también deben tenerse en cuenta las contraseñas comprometidas. Incluso las contraseñas fuertes pueden verse expuestas debido a la reutilización de contraseñas. Por eso es clave disponer de una solución que analice de forma continua Active Directory en busca de contraseñas comprometidas conocidas y obligue a los usuarios a actualizarlas. 

2.  Ataques pass-the-hash 

A diferencia de los ataques de fuerza bruta, el ataque pass-the-hash se dirige al valor hash o forma criptográfica de la contraseña. Los sistemas cliente suelen almacenar este valor en memoria. El atacante puede usar malware para extraer ese hash directamente y obtener acceso a recursos de Active Directory sin necesidad de conocer la contraseña real.

Los administradores pueden ayudar exigiendo contraseñas más largas (más de 15 caracteres) que obligan a Windows a usar el formato NT hash, más robusto. Las contraseñas de menos de 15 caracteres pueden generar un LAN Manager (LM) hash mucho más débil. Las instalaciones nuevas de Active Directory no tienen habilitado el hash LAN Manager, pero en entornos antiguos suele estar activado por defecto y requiere una configuración manual para deshabilitarlo. También hay que considerar que, incluso si el hash LAN Manager está deshabilitado en Active Directory, otros sistemas pueden seguir almacenándolo en caché, por lo que establecer una longitud mínima de contraseña de 15 caracteres es la única forma realmente fiable de garantizar que no exista en ningún punto del entorno.

Existen capas adicionales de seguridad que pueden aplicarse, aunque requieren más tiempo. Añadir MFA proporciona protección extra si la contraseña se ve comprometida, aunque MFA no es infalible. También conviene reforzar la seguridad del endpoint para proteger a los clientes frente a malware. Los administradores también pueden desplegar nuevas funciones del sistema operativo, como la seguridad basada en virtualización (Virtualization-based Security, VBS) en versiones modernas de Windows. Con VBS, Windows mantiene los secretos en un espacio protegido.

3. Kerberoasting 

Kerberoasting es un ataque dirigido a las cuentas de servicio en Active Directory Domain Services. El atacante lleva a cabo un ataque de kerberoasting obteniendo acceso inicial a la red, lo que puede lograrse mediante una cuenta de usuario estándar o con pocos privilegios. A continuación, solicita al Key Distribution Center (KDC) de Active Directory un ticket de servicio para cuentas de servicio con privilegios elevados.

El KDC responde con un ticket para la cuenta de servicio, cifrado con la contraseña de dicha cuenta. El atacante puede entonces extraer ese ticket cifrado de la memoria de la máquina local que ha comprometido. Una vez extraído, lo lleva a un entorno offline e intenta descifrar la contraseña utilizando herramientas de cracking. Es un ataque altamente efectivo, ya que las cuentas de servicio suelen tener privilegios y permisos elevados, y el ataque offline reduce significativamente el riesgo de detección.

Tácticas para defenderte del kerberoasting:

• Implementa políticas de contraseñas robustas: utiliza contraseñas complejas y seguras para las cuentas de servicio. Analiza de forma continua las contraseñas comprometidas. 
• Cambia con regularidad las contraseñas de las cuentas de servicio. Al evitar que las cuentas y contraseñas queden obsoletas, es menos probable que un atacante pueda reutilizar un ticket antiguo. Este proceso solo es viable en la práctica con una solución de terceros que lo gestione de forma eficaz. 
•  Supervisa la red para detectar solicitudes de tickets de cuentas de servicio y presta atención a patrones anómalos en esas peticiones. 
•  Asegúrate de que las políticas de contraseñas se aplican tanto a cuentas obsoletas e inactivas como a cuentas activas y con privilegios elevados. 

4. Ataques DCSync

Los controladores de dominio que alojan Active Directory Domain Services sincronizan los cambios mediante replicación. Un atacante puede imitar este proceso de replicación de un controlador de dominio utilizando la solicitud GetNCChanges para capturar hashes de credenciales del controlador de dominio principal. Herramientas como Mimikatz, que son de libre acceso y de código abierto, permiten llevar a cabo este ataque con facilidad.

Medidas defensivas frente a ataques DCSync:

• Asegúrate de aplicar reglas de seguridad sólidas en los controladores de dominio. Protege las cuentas críticas mediante el uso de contraseñas robustas. 
• Depura tu Active Directory eliminando cuentas obsoletas e inactivas, incluidas las utilizadas para servicios. 
• Supervisa de forma rigurosa las modificaciones en los grupos de dominio y otras actividades relacionadas. 

Al igual que ocurre con kerberoasting, protegerte frente a ataques DCSync requiere un enfoque por capas a lo largo del tiempo. Por ello, será necesario implementar protocolos de seguridad en los controladores de dominio y auditar Active Directory para identificar qué cuentas son esenciales y cuáles pueden eliminarse. ¿Te interesa auditar tu entorno? Descarga nuestra herramienta gratuita para ejecutar un escaneo de solo lectura de tu Active Directory y obtener un informe interactivo y exportable.

5. Ataques de golden ticket

Un ataque de Golden Ticket implica que un intruso obtenga el hash NTLM de la cuenta del servicio de distribución de claves de Active Directory (KRBTGT). Con acceso a la contraseña de KRBTGT, el atacante puede autorizarse a sí mismo y a otros a generar tickets válidos. Se trata de un ataque difícil de detectar y que puede derivar en un compromiso prolongado de la red.

Estrategias para protegerte frente a ataques de golden ticket:

1. Actualiza regularmente la contraseña de la cuenta KRBTGT, idealmente rotándola al menos cada 180 días. 
2. Implementa y mantén una política de mínimo privilegio en toda tu configuración de Active Directory. Aplicar correctamente el principio de mínimo privilegio puede requerir varias fases. 
3. Asegura el uso de contraseñas robustas mediante tu política de contraseñas. No facilites a los atacantes un punto de entrada inicial en tu entorno. 

6. Aplicaciones integradas con AD con seguridad débil

Algunas organizaciones cuentan con aplicaciones heredadas integradas con Active Directory que presentan debilidades, como el uso de credenciales embebidas (hard-coded), cifrado débil, protocolos de seguridad de red poco robustos u otras arquitecturas de software de riesgo. Cualquiera de estos factores puede proporcionar a un atacante un punto de entrada para comprometer Active Directory. Sin embargo, es importante considerar que remediar aplicaciones heredadas críticas para el negocio puede suponer un esfuerzo considerable que puede prolongarse durante meses o incluso más tiempo.

Las aplicaciones de software pueden necesitar ser refactorizadas o sustituidas por completo, lo cual no siempre resulta sencillo. Comprender correctamente el panorama de aplicaciones mediante una auditoría adecuada es fundamental. A partir de ahí, la organización debe decidir si los riesgos desde el punto de vista de la seguridad justifican la refactorización o reescritura de las aplicaciones. Si esto no es posible, la implantación de otras medidas de seguridad compensatorias puede ser una opción para mitigar el riesgo.

El denominador común: la seguridad de las contraseñas

Comprender las rutas de ataque para proteger Active Directory es fundamental para las organizaciones que utilizan Active Directory Domain Services. Algunas rutas de ataque pueden remediarse más rápidamente que otras, pero uno de los pasos más críticos para protegerte frente a la mayoría de ellas es reforzar la seguridad de las credenciales de los usuarios. 

Como has podido comprobar, desde la perspectiva de un atacante, la clave de muchas de estas rutas de ataque es obtener un punto de entrada inicial a través de una cuenta dentro de tu organización. La forma más sencilla de conseguirlo es explotar una contraseña débil o comprometida.  

Specops Password Policy puede ayudarte a implementar rápidamente políticas de contraseñas robustas que van más allá de la configuración predeterminada de Active Directory. Además, tu Active Directory se analizará de forma continua frente a más de 4.000 millones de contraseñas comprometidas conocidas. Contacta con uno de nuestros expertos y descubre cómo Specops Password Policy puede integrarse en tu organización.