Llegamos a ustedes gracias a:



Reportajes y análisis

Consejos para fortalecer AD contra ataques estilo SolarWinds

[18/02/2021] Los ataques SolarWinds/Solorigate utilizan algunas metodologías preocupantes. Una de ellas ha sido denominada el proceso de ataque Golden SAML. Security Assertion Markup Language (SAML) permite el intercambio de información de autenticación y autorización entre partes de confianza. La técnica Golden SAML permite a los atacantes generar su propia respuesta SAML para obtener acceso o control. Para hacerlo, primero deben obtener acceso privilegiado a una red con el fin de acceder a los certificados utilizados para firmar objetos SAML.

Con Active Directory (AD), usted dispone de varios medios de Microsoft para identificar esta y otras técnicas utilizadas en el ataque a SolarWinds y evitar que ocurran. Empresas como Trimarc Security han lanzado scripts de PowerShell para analizar y revisar su infraestructura de Active Directory. Proporcionaron un script para ambientes de Active Directory simples y únicos con el fin de realizar un proceso de revisión. En un dominio de Active Directory, el script busca problemas clave que podrían limitar o reducir la posición de seguridad de una empresa. Esto es lo que debe revisar incluso si no usa un script.

Configuración de la cuenta de usuario

El primer problema involucra las cuentas de usuario. La secuencia de comandos revisa las cuentas inactivas que no se han modificado o que no han iniciado sesión. El script realiza revisiones adicionales de la configuración relacionada con Kerberos, incluida la verificación de cuentas que están configuradas para no requerir autenticación previa de Kerberos, ya que se sabe que los atacantes han aprovechado esta configuración.

Este ataque se llama AS-REP Roast. Como parte del proceso de autenticación, existe una solicitud inicial para autenticarse sin contraseña. Luego, el atacante puede enviar un AS-REQ (solicitud de servidor de autenticación) falso, y el centro de distribución de claves enviará inmediatamente un ticket de concesión de ticket (TGT, por sus siglas en inglés) junto con datos adicionales cifrados con la clave del usuario -el hash de la contraseña. Los atacantes pueden obtener este hash y descifrarlo sin conexión. Si bien Microsoft agregó el control en Kerberos 5, es posible que aún tenga la configuración mal configurada.

Política de contraseña de dominio

Lo siguiente que revisa el script es la política de contraseñas del dominio. Si se utilizan contraseñas débiles, los ataques de rociado de contraseñas son efectivos contra el Active Directory, así que asegúrese de que se haya implementado una política de contraseñas adecuada. Trimarc recomienda que establezca una política de contraseña con no menos de 12 caracteres y, preferiblemente, 16 caracteres o más. Siempre que elija una política de contraseña larga, asegúrese de que la política funcione con todas las aplicaciones de su dominio. Cualquier aplicación que exija el uso de una política de contraseña más débil debe investigarse para actualizarla o eliminarla de su red, ya que está debilitando su posición de seguridad.

Política de backup de Active Directory

Algunas empresas no realizan backups de los controladores de dominio y, en cambio, dependen de la instalación y la replicación de nuevos controladores de dominio. Debido al impacto del ransomware en las redes, esta política es potencialmente peligrosa y podría poner en riesgo a una empresa. Revise si se están realizando los backups del Active Directory. Si utiliza un proceso de backup compatible con Microsoft, establezca una marca o atributo para identificar la fecha del último backup. Si usted no realiza un backup del estado del sistema, no está haciendo un backup adecuado de su estructura de Active Directory. Trimarc recomienda que ejecute un backup del estado del sistema para incluir la operación maestra única flexible (FSMO, por sus siglas en inglés) al menos una vez al mes y mantenerla archivadas durante al menos seis meses.

Credenciales antiguas de las Preferencias de las directivas de grupo

Las Preferencias de las directivas de grupo se publicaron por primera vez en el 2008 y permitían a un administrador actualizar y proporcionar credenciales. Debido a que estas credenciales se cifraron con AE256, es posible utilizar una función de PowerShell para revertir el cifrado y obtener el valor de texto sin formato. Si bien existe una actualización para aumentar la protección evitando el uso de contraseñas de las Preferencias de directivas de grupo, si tiene un dominio lo suficientemente antiguo, es posible que haya almacenado inadvertidamente los valores de las credenciales. Los atacantes revisarán su dominio en busca de estas contraseñas sobrantes y las usarán para atacar su dominio.

Políticas y derechos de los administradores de dominios

Asegúrese de haber identificado a cualquier usuario que sea administrador de dominio o que tenga derechos equivalentes. Luego revíselos para ver si hay problemas de seguridad adicionales. Cambie las contraseñas de estas cuentas con regularidad y agrégueles autenticación de dos factores (2FA). Es posible que necesite software de terceros para agregar 2FA a las cuentas de administrador.

La cuenta de servicio de dominio es la cuenta KRBTGT, que a menudo está deshabilitada. Se utiliza para otorgar tickets Kerberos o generar tickets dorados. Un atacante que aprenda la contraseña de la cuenta de servicio de dominio puede crear tickets dorados. Como señala MITRE, esta secuencia de ataque puede permitir a los adversarios generar material de autenticación para cualquier cuenta en Active Directory. Cambie esta contraseña después de que se retire cualquier administrador de Active Directory, o mínimo dos veces al año, si cumple con las pautas del Departamento de Defensa de Estados Unidos.

Delegaciones Kerboros sin restricciones 

El "doble salto de Kerberos es un método de ataque antiguo. Kerberos usa el doble salto para mantener las credenciales de autenticación Kerberos de un cliente en dos o más conexiones. Audite y revise las delegaciones de Kerberos sin restricciones y asegúrese de que esto solo se use en situaciones muy aisladas, o que no se use en absoluto. Si los tipos de delegación de Kerberos no están restringidos cuando se usan en una configuración web, esto permite la suplantación de identidad de los usuarios para obtener una conexión a cualquier servicio de Kerberos.

Objetos de directiva de grupo vinculados

Las directivas de grupo son poderosas y los atacantes lo saben. Los propietarios de los objetos de directiva de grupo pueden tener la capacidad de cambiar permisos que no deberían. Tenga cuidado al vincular estos objetos a la raíz del dominio y la unidad organizativa de los controladores de dominio. Estos propietarios deben limitarse a administradores de dominio o administradores de la empresa.

Niveles de actualización del controlador de dominio

Revise los niveles de actualización de los controladores de dominio para asegurarse de que sean adecuados para su red. No debe tener controladores de dominio que ejecuten sistemas operativos más antiguos o desactualizados. No solo expone a su empresa a riesgos de seguridad, sino que también le impide utilizar procesos de autenticación más nuevos, que dependen de los sistemas operativos modernos. Todos los controladores de dominio deben ejecutarse a un mínimo de Windows Server 2012 R2.

Revise su capacidad para migrar a Windows Server 2016 o, preferiblemente, a Windows Server 2019 y haga que la infraestructura de su dominio se ejecute con el sistema operativo más actualizado posible. Mantenga la actualización mensual en un estado razonablemente actual. Tener un servidor 2019 sin actualizaciones también pondrá su red en riesgo de varios problemas de seguridad.