Llegamos a ustedes gracias a:



Reportajes y análisis

4 configuraciones de Windows 10 para evitar el robo de credenciales

[10/01/2021] Una publicación reciente en el blog de Crowdstrike habló sobre cómo los atacantes estaban apuntando a una industria específica. Lo que llamó la atención fue cómo se aseguraron de poder robar las credenciales de la empresa: "Cinco minutos después de obtener acceso al host..., el adversario modificó el registro para implementar un procedimiento ampliamente conocido que permite almacenar las credenciales en claro texto en la memoria, facilitando el robo de credenciales:

reg add hklm\system\currentcontrolset\control\securityproviders\wdigest /v UseLogonCredential /t REG_DWORD /d 1 /F

El año pasado escribí sobre cómo evitar el uso del robo de credenciales de WDigest. Claramente, no todos han aprendido la lección. Los atacantes utilizan ataques antiguos porque todavía funcionan-y funcionan bien. ¿Qué puede hacer para asegurarse de que no sea tan fácil de atacar?

Sepa lo que está protegiendo

Encuentro que, si entiendo lo que estoy tratando de proteger, puedo idear mejores formas de protegerlo. Comprender cómo funciona el proceso de autenticación y por qué ciertos procesos son mejores, comienza con comprender el proceso de autenticación de contraseña en general. Steve Syfuhs, desarrollador del equipo de Azure Active Directory de Microsoft, escribió una publicación excelente sobre lo que sucede cuando ingresa su contraseña en Windows. (Para obtener más información sobre temas similares, consulte su publicación sobre cómo funciona el inicio de sesión único y sobre cómo funciona el inicio de sesión de Azure AD.)

Le insto a que revise dos publicaciones excelentes sobre el tema de la recolección de credenciales de Reliaquest: Credential Dumping Part 1: Una mirada más cercana a las vulnerabilidades con la autenticación de Windows y la gestión de credenciales, y Credential Dumping Part 2: Cómo mitigar el robo de credenciales de Windows. Le ayudarán a comprender cómo los atacantes pueden acceder y cómo protegerse contra ellos.

Algunas de las mejores protecciones que puede tener en la plataforma de Microsoft no están incluidas en Windows 10 Professional. Muchas funciones pueden parecer que funcionan en Professional, pero solo después de realizar pruebas e investigaciones, confirmará que las protecciones solo funcionan con Windows 10 Enterprise, por ejemplo, Credential Guard, la función basada en virtualización de Microsoft que protege contraseñas u otras credenciales. Como se indica en la publicación Credential Dumping Part 2, "Cuando se usa Credential Guard, en lugar de almacenar los secretos de las credenciales en el espacio de memoria de LSA, el proceso de LSA se comunicará con un proceso de LSA aislado que almacenará los secretos. Este nuevo proceso LSA aislado está protegido por virtualización y no es accesible para el resto del sistema operativo. La virtualización está a cargo de un hipervisor.

Si usted intenta habilitar la configuración de Credential Guard en la versión Professional, Defender puede decir que está habilitada, pero la configuración no lo protege. Solo lo protege de los ataques con la configuración de las versiones Enterprise o Education que utilizan herramientas como MimiKatz.

Incluso sin Windows 10 Enterprise o Education, puede tomar medidas que lo hagan menos susceptible al robo de credenciales.

Establecer Wdigest en 0

Le insto nuevamente a que establezca la configuración de Wdigest en "0 para bloquear la capacidad de almacenar contraseñas de texto sin formato. Primero, extraiga la clave de registro ubicada en:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest

Si el valor de UseLogonCredential se establece en "0, Wdigest no almacenará las credenciales en la memoria. Al establecer el valor de "0, se asegurará de que puede supervisar el registro en busca de cambios. Si un atacante intenta cambiar el valor, se le puede marcar cuando lo intente.

Establecer LSASS en modo protegido

La siguiente configuración que puede hacer si solo tiene Windows 10 Professional, es configurar el Local Security Authority Subsystem Service (LSASS) en modo protegido. LSASS es un proceso en los sistemas operativos de Microsoft Windows, que es responsable de hacer cumplir la política de seguridad en el sistema. Este escribe en el registro de seguridad de Windows y verifica a los usuarios que inician sesión en una computadora o servidor con Windows, maneja los cambios de contraseña y crea tokens de acceso.

Para hacerlo, use la guía y use regedit y navegue hasta:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Luego, establezca el valor de la clave de registro en: "RunAsPPL=dword:00000001.

Reinicie su computadora para habilitar la configuración.

Desde el punto de vista de la funcionalidad, cada vez que ajusta una configuración predeterminada en Windows, debe revisar el impacto potencial en sus aplicaciones de línea de negocio. Si una aplicación de autenticación de terceros usa LSASS, la funcionalidad podría romperse si no cumple con los siguientes mandatos relacionados con la verificación de firmas.

Primero, el modo protegido requiere que cualquier proceso cargado en LSA tenga una firma digital de Microsoft. Cualquier programa no firmado, o firmado inválidamente, no podrá cargarse dentro de LSA. Los controladores deben estar firmados con la certificación WHQL. Si no están firmados, deben firmarse mediante el servicio de firma de archivos para LSA. Finalmente, la aplicación debe adherirse a la guía del proceso del ciclo de vida de desarrollo de seguridad de Microsoft. Revise las plataformas o aplicaciones de autenticación de terceros para asegurarse de que no se verán afectadas por esta configuración.

Establecer la configuración de las credenciales en caché

Una configuración, que puede ser difícil de hacer en esta era de trabajo desde casa y haciendo uso de una VPN, es limitar las credenciales almacenadas en caché. En los sistemas Windows, las credenciales en caché de los últimos 10 usuarios de dominio se almacenan en el registro en HKEY_LOCAL_MACHINE\SECURITY\Cache. Siga estos pasos para ajustar esa configuración:

  • Vaya a "Política de seguridad local
  • Vaya a "Políticas locales
  • Vaya a "Opciones de seguridad
  • Vaya a "Inicio de sesión interactivo: número de inicios de sesión anteriores en caché (en caso de que el controlador de dominio no esté disponible)

Es posible que desee establecer esta configuración en "0 o "bajo para los activos locales que no se mueven de la red. Es posible que no desee cambiar esta configuración para las estaciones de trabajo de cliente.

Ajustar administrador de credenciales

Credential Manager es otra ubicación que contiene contraseñas de red a las que los atacantes pueden acceder mediante herramientas como Credentialsfileview. Puede deshabilitar el guardado de contraseña siguiendo estos pasos:

  • Vaya a "Configuración de la computadora
  • Vaya a "Configuración de Windows
  • Vaya a "Configuración de seguridad
  • Vaya a "Políticas locales
  • Vaya a "Opciones de seguridad
  • Vaya a "Acceso a la red: no permita el almacenamiento de contraseñas y credenciales para la autenticación de la red

Ajustar esta configuración significa bloquear una ruta más fácil para que los atacantes puedan obtener más acceso a su sistema.