Cuentas atractivas para el robo de credenciales
Los ataques de robo de credenciales son aquellos en los que un atacante obtiene inicialmente el acceso con más privilegios (raíz, administrador o SISTEMA, según el sistema operativo en uso) a un equipo de una red y, después, usa herramientas disponibles de forma gratuita para extraer las credenciales de las sesiones de otras cuentas que han iniciado sesión. Dependiendo de la configuración del sistema, se pueden extraer estas credenciales en forma de hash, vales o incluso contraseñas de texto sin formato. Si cualesquiera de las credenciales cosechadas son para cuentas locales que probablemente existan en otros equipos de la red (por ejemplo, cuentas Administrador en Windows o cuentas raíz en OSX, UNIX o Linux), el atacante presenta las credenciales a otros equipos de la red para propagar el riesgo a más equipos, y así intentar obtener las credenciales de dos tipos específicos de cuentas:
Cuentas de dominio con privilegios amplios y profundos (es decir, cuentas que tienen privilegios de nivel de administrador en muchos equipos y en Active Directory). Estas cuentas no pueden ser miembros de ninguno de los grupos con máximos privilegios de Active Directory, pero se les puede haber concedido privilegios de nivel de administrador en muchos servidores y estaciones de trabajo del dominio o bosque, lo que hace que en sean tan eficaces como los miembros de los grupos con privilegios de Active Directory. En la mayoría de los casos, las cuentas a las que se han concedido altos niveles de privilegios en amplias franjas de la infraestructura de Windows son cuentas de servicio, por lo que siempre se deben evaluar por la amplitud y profundidad de los privilegios de las mismas.
Cuentas de dominio VIP (persona muy importante). En el contexto de este documento, una cuenta VIP es cualquier cuenta que tenga acceso a información que cualquier atacante querría (propiedad intelectual e industrial y otra información confidencial), o bien cualquier cuenta que se pueda usar para conceder al atacante acceso a esa información. Estos son algunos ejemplos de estas cuentas de usuario:
Ejecutivos cuyas cuentas tienen acceso a información corporativa confidencial
Cuentas del personal del departamento de soporte técnico responsable de mantener los equipos y las aplicaciones que usan los ejecutivos
Cuentas del personal del departamento legal que tiene acceso a los documentos de licitación y a los contratos de una organización, tanto si los documentos son para su propia organización como para las organizaciones de los clientes
Planificadores de productos que tienen acceso a planes y especificaciones de productos en la canalización de desarrollo de una empresa, independientemente de los tipos de productos que cree la empresa
Investigadores cuyas cuentas se usan para acceder a datos de estudios, formulaciones de productos o cualquier otra investigación que pueda interesar a los atacantes
Dado que las cuentas con privilegios elevados en Active Directory se pueden usar para propagar riesgos y manipular cuentas VIP o los datos a los que pueden acceder, las cuentas más útiles para los ataques de robo de credenciales son aquellas que son miembros de los grupos Administradores de empresa, Administradores de dominio y Administradores en Active Directory.
Dado que los controladores de dominio son los repositorios de la base de datos de AD DS y que dominio tienen acceso total a todos los datos de Active Directory, también sufren ataques, ya sea en paralelo con ataques de robo de credenciales o después de que se hayan puesto en peligro una o varias cuentas de Active Directory con privilegios elevados. Aunque numerosas publicaciones (y muchos atacantes) se centran en las pertenencias al grupo Administradores de dominio al describir ataques pass-the-hash y otros ataques de robo de credenciales (como se describe en Reducción de la superficie expuesta a ataques de Active Directory), se puede usar una cuenta que sea miembro de cualquiera de los grupos enumerados aquí para poner en peligro toda la instalación de AD DS.
Nota
Para obtener información completa sobre pass-the-hash y otros ataques de robo de credenciales, consulte las notas del producto Mitigación de ataques pass-the-hash (PTH) y otras técnicas de robo de credenciales, que se enumeran en el apéndice M: Vínculos de documentos y lecturas recomendadas. Para más información sobre los ataques realizados por determinados adversarios, que a veces se conocen como "amenazas persistentes avanzadas" (APT), consulte Adversarios determinados y ataques dirigidos.
Actividades que aumentan la probabilidad de riesgo
Dado que el objetivo del robo de credenciales habitualmente son cuentas de dominio con privilegios elevados y cuentas VIP, es importante que los administradores sean conscientes de las actividades que aumentan la probabilidad de éxito de un ataque de robo de credenciales. Aunque los atacantes también eligen cuentas VIP como destino, si a estas no se les conceden privilegios elevados en los sistemas o en el dominio, el robo de sus credenciales necesita otros tipos de ataques, como la ingeniería social de la cuenta VIP para proporcionar información secreta. O bien, el atacante primero debe obtener acceso con privilegios a un sistema en el que las credenciales de VIP se almacenan en la caché. Este es el motivo por el que las actividades que aumentan la probabilidad de robo de credenciales que se describen aquí se centran principalmente en evitar la adquisición de credenciales administrativas con privilegios elevados. Estas actividades son mecanismos comunes por medio de los cuales los atacantes pueden poner en peligro sistemas para obtener credenciales con privilegios.
Inicio de sesión en equipos no seguros con cuentas con privilegios
La vulnerabilidad principal que permite que los ataques de robo de credenciales tengan éxito es el acto de iniciar sesión en equipos que no son seguros con cuentas que tienen privilegios amplios y profundos en todo el entorno. Estos inicios de sesión pueden ser el resultado de varias configuraciones incorrectas que se describen aquí.
No mantener credenciales administrativas independientes
Aunque es relativamente poco común, al evaluar varias instalaciones de AD DS, hemos detectado que los empleados de TI usan una sola cuenta para todo su trabajo. La cuenta es miembro de al menos uno de los grupos con más privilegios de Active Directory y es la misma cuenta que los empleados usan para iniciar sesión en sus estaciones de trabajo por la mañana, comprobar su correo electrónico, examinar sitios de Internet y descargar contenido en sus equipos. Cuando los usuarios utilizan cuentas a las que se conceden derechos y permisos de administrador local, exponen el equipo local para completar el riesgo. Cuando esas cuentas también son miembros de los grupos con más privilegios de Active Directory, exponen todo el bosque que se pone en peligro, lo que facilita trivialmente que los atacantes obtengan un control completo del entorno de Active Directory y Windows.
De forma similar, en algunos entornos, hemos detectado que se usan los mismos nombres de usuario y contraseñas para cuentas raíz en equipos que no son Windows que en el entorno de Windows, lo que permite a los atacantes ampliar el riesgo desde sistemas UNIX o Linux a sistemas Windows, y viceversa.
Inicios de sesión en estaciones de trabajo o servidores miembro en peligro con cuentas con privilegios
Cuando se usa una cuenta de dominio con privilegios elevados para iniciar sesión de forma interactiva en una estación de trabajo o un servidor miembro en peligro, ese equipo en peligro puede recopilar credenciales de cualquier cuenta que inicie sesión en el sistema.
Estaciones de trabajo administrativas sin proteger
En muchas organizaciones, el personal de TI usa varias cuentas. Una cuenta se usa para iniciar sesión en la estación de trabajo del empleado y, dado que es personal de TI, a menudo tienen derechos de administrador local en sus estaciones de trabajo. En algunos casos, UAC se deja habilitado para que el usuario reciba al menos un token de acceso dividido al iniciar sesión y se deba elevar cuando se requieran privilegios. Cuando estos usuarios realizan actividades de mantenimiento, normalmente usan herramientas de administración instaladas localmente y proporcionan las credenciales para sus cuentas con privilegios de dominio. Para ello, seleccionan la opción Ejecutar como administrador o especifican las credenciales cuando se les solicitan. Aunque esta configuración puede parecer adecuada, expone el entorno a cierto peligro porque:
- La cuenta de usuario "normal" que el empleado usa para iniciar sesión en su estación de trabajo tiene derechos de administrador local, el equipo es vulnerable a ataques drive-by download en los que el usuario está convencido de instalar malware.
- El malware se instala en el contexto de una cuenta administrativa, el equipo ahora se puede usar para capturar pulsaciones de teclas, contenido del Portapapeles, capturas de pantalla y credenciales residentes en memoria, y cualquiera de estos elementos puede dar lugar a la exposición de las credenciales de una cuenta de dominio eficaz.
Los problemas de este escenario son dobles. En primer lugar, aunque se usan cuentas independientes para la administración local y la del dominio, el equipo no está seguro y no protege las cuentas contra el robo. En segundo lugar, a la cuenta de usuario normal y a la cuenta administrativa se les han concedido permisos y derechos excesivos.
Exploración de Internet con una cuenta con privilegios elevados
Los usuarios que inician sesión en equipos con cuentas que son miembros del grupo Administradores local en el equipo, o los miembros de grupos con privilegios en Active Directory, y que luego exploran Internet (o una intranet en peligro) exponen el equipo local y el directorio a ciertos peligros.
El acceso a un sitio web diseñado de forma malintencionada con un explorador que se ejecuta con privilegios administrativos puede permitir que un atacante deposite código malintencionado en el equipo local en el contexto del usuario con privilegios. Si el usuario tiene derechos de administrador local en el equipo, los atacantes pueden engañar al usuario para que descargue código malintencionado o que abra los datos adjuntos de un correo electrónico que aprovechen las vulnerabilidades de la aplicación y aprovechen los privilegios del usuario para extraer credenciales almacenadas en la caché local para todos los usuarios activos del equipo. Si el usuario tiene derechos administrativos en el directorio por pertenecer a los grupos Administradores de empresa, Administradores de dominio o Administradores de Active Directory, el atacante puede extraer las credenciales del dominio y usarlas para poner en peligro todo el dominio o bosque de AD DS, sin necesidad de poner en peligro ningún otro equipo del bosque.
Configuración de cuentas con privilegios locales con las mismas credenciales en varios sistemas
La configuración del mismo nombre y contraseña de cuenta de administrador local en muchos equipos, o en todos ellos, permite que las credenciales robadas de la base de datos SAM de un equipo se usen para poner en peligro todos los demás equipos que usan las mismas credenciales. Como mínimo, debe usar contraseñas diferentes para las cuentas de administrador locales en cada sistema unido a un dominio. Las cuentas de administrador local también pueden tener un nombre único, pero el uso de contraseñas diferentes para las cuentas locales con privilegios de cada sistema es suficiente para asegurarse de que las credenciales no se pueden usar en otros sistemas.
Sobrepoblación y uso excesivo de grupos de dominio con privilegios
La concesión de pertenencia a los grupos EA, DA o BA en un dominio crea un objetivo para los atacantes. Cuanto mayor sea el número de miembros de estos grupos, más probable será que un usuario con privilegios pueda usar incorrectamente las credenciales y exponerlas a ataques de robo de credenciales involuntariamente. Todas las estaciones de trabajo o servidores en los que un usuario de dominio con privilegios inicia sesión presentan un posible mecanismo por el que las credenciales del usuario con privilegios se pueden recopilar y usar para poner en peligro el dominio y el bosque de AD DS.
Controladores de dominio con protección insuficiente
Los controladores de dominio hospedan una réplica de la base de datos de AD DS de un dominio. En el caso de los controladores de dominio de solo lectura, la réplica local de la base de datos contiene las credenciales solo de un subconjunto de las cuentas del directorio, y ninguna de ellas es una cuenta de dominio con privilegios de forma predeterminada. En los controladores de dominio de lectura y escritura, cada uno de ellos mantiene una réplica completa de la base de datos de AD DS, que incluye las credenciales no solo de los usuarios con privilegios, como administradores de dominio, sino también de las cuentas con privilegios, como las cuentas de controlador de dominio o la cuenta Krbtgt del dominio, que es la cuenta asociada al servicio KDC en las controladores de dominio. Si se instalan en los controladores de dominio aplicaciones adicionales que no son necesarias para la funcionalidad de los mismos, o si los controladores de dominio no están estrictamente revisados y protegidos, los atacantes los pueden poner en peligro a través de vulnerabilidades no revisadas, o bien pueden aprovechar otros vectores de ataque para instalar software malintencionado directamente en ellos.
Elevación y propagación de privilegios
Independientemente de los métodos de ataque que se usen, Active Directory siempre es uno de los objetivos cuando se ataca un entorno de Windows, ya que, en última instancia, controla el acceso a todos los elementos que desean los atacantes. Sin embargo, esto no significa que todo el directorio sea el destino. Normalmente, los principales destinos de ataques contra Active Directory son cuentas, servidores y componentes de la infraestructura específicos. Estas cuentas se describen más abajo.
Cuentas con privilegios permanentes
Gracias a la introducción de Active Directory ha sido posible usar cuentas con privilegios elevados para crear el bosque de Active Directory y, después, delegar derechos y permisos necesarios para realizar la administración diaria en cuentas con menos privilegios. La pertenencia a los grupos Administradores de empresa, Administradores de dominio o Administradores de Active Directory solo se requiere temporalmente, incluso poco frecuentemente, en aquellos entornos que implementan enfoques con privilegios mínimos para la administración diaria.
Las cuentas con privilegios permanentes son las que se han colocado en grupos con privilegios y se han dejado en ellos varios días. Si su organización coloca cinco cuentas en el grupo Administradores de dominio para un dominio, esas cinco cuentas pueden ser objetivo de los atacantes 24 horas al día los siete días de la semana. Sin embargo, la necesidad real de usar cuentas con privilegios de administradores de dominio normalmente es solo para una configuración específica para todo el dominio y durante breves períodos de tiempo.
Cuentas VIP
Un objetivo que a menudo se pasa por alto en las vulneraciones de Active Directory son las cuentas VIP ("personas muy importantes") de las organizaciones. Las cuentas con privilegios se eligen como objetivo porque pueden conceder acceso a los atacantes, lo que les permite poner en peligro, o incluso destruir, los sistemas que son su objetivo, como ya se ha descrito en esta sección.
Cuentas de Active Directory "Conectadas con privilegios"
Las cuentas de Active Directory "conectadas con privilegios" son aquellas cuentas de dominio que no pertenecen a ninguno de los grupos que tienen los niveles más altos de privilegios en Active Directory, pero a las que se han concedido altos niveles de privilegios en muchos servidores y estaciones de trabajo del entorno. Con mucha frecuencia, estas cuentas suelen estar basadas en dominios y están configuradas para ejecutar servicios en sistemas unidos a un dominio, normalmente para aplicaciones que se ejecutan en grandes secciones de la infraestructura. Aunque estas cuentas no tienen privilegios en Active Directory, si se les conceden privilegios elevados en un muchos sistemas, se pueden usar para poner en peligro, o incluso destruir, grandes segmentos de la infraestructura, con lo que se lograría el mismo efecto que el riesgo de una cuenta de Active Directory con privilegios.