Implementando ITDR: diez acciones para proteger el Directorio Activo

Por: Juan Carlos Vázquez

Dentro de las siete tendencias de ciberseguridad que no deben de dejar pasar los tomadores de decisión para este 2022, el analista Gartner acuñó de manera oficial el concepto denominado “Detección y respuesta de amenazas a la identidad” o por sus siglas en inglés ITDR, bajo la premisa de defender los sistemas de identidad de niveles endémicos de ataques, y donde el ya conocido Directorio Activo de Microsoft tiene mucho que ver.

El Directorio Activo (AD) es uno de los objetivos más preciados por los atacantes. Saben que una vez que logran entrar a él, tienen pase directo a múltiples recursos sensibles de la red. DA es un componente fundamental, pues a través de él se proveen los servicios necesarios para que los administradores gestionen los permisos y controlen el acceso a los recursos de la red necesarios para la operación efectiva de las organizaciones mediante procesos de autenticación y autorización.

Y es ahí donde radica el mayor reto. Por un lado, es vital que los usuarios tengan un acceso sencillo al DA para realizar su trabajo diario; por otro, es lo que puede dificultar su protección en un momento, dada su complejidad. De acuerdo con estimaciones de Microsoft, todos los días más de 95 millones de cuentas del DA son atacadas, y ese número va en aumento, así como más del 90% de las organizaciones a nivel mundial emplean el DA. Si usted se pregunta por qué el ransomware tiene mucho éxito en su materialización, es debido a su apalancamiento sobre el DA durante la intrusión de los ciber actores.

Proteger efectivamente el DA no es una misión imposible. A través de procesos y herramientas dedicadas, los responsables de la seguridad empresarial pueden elevar el nivel de protección y prevenir los ataques a los que el DA como repositorio de identidades y superficie está expuesto permanentemente.

Gartner recomienda hacer uso de tecnologías denominadas AD TDR, que es la detección y respuesta de amenazas a la identidad aplicadas al AD, mediante la protección de la infraestructura de identidad de ataques maliciosos, detectar e investigar posibles incursiones y restaurar funcionamiento normal en caso de manipulación.

A continuación compartimos diez acciones que los profesionales de seguridad en conjunto con las áreas de infraestructura pueden poner en práctica para mejorar la protección del DA en sus organizaciones bajo dicho concepto:

1. Prevenir y detectar la enumeración de sesiones privilegiadas, delegadas, de administración y servicios en la red. Una vez que logra infiltrarse en la red, un atacante identifica los recursos valiosos y accede a ellos realizando actividades aparentemente normales que difícilmente son detectadas. Identificar y prevenir las enumeraciones de los objetos privilegiados, de administración delegada, de las cuentas de servicio y de los controladores de dominio puede alertar sobre su presencia al inicio del ataque. Mediante cuentas de dominio, de equipo y credenciales falsas es posible detener a los atacantes desde un inicio y desviarlos hacia una superficie señuelo. El uso del Deception o del Ciber Engaño es uno de los mecanismos descritos por el analista en su análisis de ITDR.

2. Identificar y remediar las exposiciones de cuentas privilegiadas. Los atacantes saben que los usuarios almacenan sus credenciales en sus estaciones de trabajo y buscan obtenerlas para tener acceso a la red. Las empresas pueden evitarlo al identificar las exposiciones de cuentas privilegiadas, remediar errores de configuración y eliminar credenciales guardadas, carpetas compartidas y otras vulnerabilidades. Hoy en día los atacantes no solo explotan las credenciales en memoria, sino que también las almacenan en clientes VPN, navegadores, herramientas de gestión remota, etc.

3. Detectar y proteger contra ataques tipo “Golden Ticket” y “Silver Ticket”. Los ataques Pass-the-Ticket (PTT) son una técnica que usan los cibercriminales para desplazarse lateralmente por la red y escalar sus privilegios. “Golden Ticket” y “Silver Ticket” son los tipos de ataques del tipo PTT más severos que se utilizan para comprometer los dominios. Para detenerlos, es necesario detectar cuentas de servicios de cómputo y Ticket Granting Ticket (TGT) vulnerables, así como identificar y alertar sobre errores de configuración que podrían detonar dichos ataques.

4. Proteger contra ataques de Keberoasting, DCSync. Un ataque de “Kerberoasting” permite tener acceso privilegiado, mientras que los ataques de DCSync y DCShadow permiten mantener persistencia dentro del dominio de la empresa. Para prevenirlos hay que realizar una evaluación continua del AD a fin de hacer un análisis en tiempo real y alertar de los errores de configuración. También es conveniente tener una solución capaz de prevenir que los atacantes descubran cuentas a las cuales atacar y de reducir su capacidad para realizar estas incursiones. Integración con soluciones MFA de las soluciones AD TDR ofrece autenticación en respuesta a eventos que se consideran de riesgo.

5. Evitar la extracción de credenciales expuestas a nivel de dominio. Los atacantes tienen en la mira contraseñas de texto sencillo o reversibles que se encuentran almacenadas en scripts o archivos de políticas ubicados en porciones de dominios (domain shares) como Sysvol o Netlogon. Se recomienda el uso de soluciones que ayuden a detectar estas contraseñas y remediar las exposiciones antes de que los atacantes las comprometan, además de implementar objetos de políticas de grupos de Sysvol engañosos en el DA, lo que ayuda a alejar a los atacantes de los recursos de producción.

6. Identificar cuentas con SID privilegiado. Mediante la técnica de inyección Windows Security Identifier (SID), los adversarios pueden utilizar el atributo “historia” del SID para moverse lateralmente dentro del DA y escalar sus privilegios. Para prevenirlo es necesario detectar cuentas con valores de SID privilegiados en el atributo de historia y los reportes de SID.

7. Detectar la peligrosa delegación de derechos de acceso en objetos críticos. La delegación es una carga del DA que permite a un usuario o cuenta hacerse pasar por otra cuenta. Los atacantes pueden aprovecharla para tener acceso a distintas áreas de la red. Monitorear continuamente las vulnerabilidades del DA y la exposición de la delegación puede ayudar a identificar y remediar estas vulnerabilidades antes de que los adversarios las aprovechen.

8. Identificar cuentas privilegiadas con delegación habilitada. Las cuentas privilegiadas que estén configuradas con delegación ilimitada pueden dar paso a ataques de Kerberoasting y Silver Ticket. De ahí que las empresas puedan detectar y reportar las cuentas privilegiadas que tienen la función de delegación habilitada. A los encargados de la seguridad les puede ser útil tener una lista completa de los usuarios privilegiados, administradores delegados y cuentas de servicios para hacer un inventario de las vulnerabilidades potenciales.

9. Identificar usuarios no privilegiados con ACL de Para moverse lateralmente, los atacantes pueden añadir cuentas al objeto AdminSDHolder que se utiliza para asegurar usuarios y grupos privilegiados. A su vez, este tiene una Access Control List (ACL) que controla los permisos de los directores de seguridad que son miembros de los grupos privilegiados de DA. Cuando los adversarios añaden cuentas, obtienen el mismo acceso privilegiado que otras cuentas protegidas. Las organizaciones pueden utilizar herramientas que puedan detectar y alertar sobre la presencia de cuentas inusuales dentro de ACL de AdminSDHolder.

10. Identificar cambios recientes a la política de dominios o a la política de controladores de dominios. Las organizaciones utilizan políticas de grupos dentro de DA para gestionar las configuraciones operativas al definir los parámetros de seguridad para dicho entorno. Con ellas, los administradores instalan software, que definen la seguridad y establecen permisos de archivos y registros. Los atacantes, sin embargo, pueden modificar estas políticas para lograr la persistencia de dominios dentro de la red. Estar al tanto de los cambios a las políticas de grupo predeterminadas puede ayudar a detectar rápidamente a estos atacantes, y mitigar así lo riesgos para la seguridad y prevenir el acceso privilegiado al DA.

Finalmente considere esta recomendación como extra:

Implemente mecanismos para evitar la extracción o el “dumping” de credenciales. Un consejo extra que va más allá de la seguridad del DA es la implementación de mecanismos para evitar el acceso no autorizado a las credenciales como vector de ataque, no solo de las bóvedas que almacenan las propias del sistema operativo, sino de otros aplicativos críticos que los atacantes explotan durante una intrusión como clientes VPN, herramientas de acceso remoto, navegadores, entre otros. Lograr esta función interrumpirá otra táctica esencial consiguiendo que los ciber actores desconfíen de la efectividad de sus herramientas.

Los atacantes han aprendido a evadir los controles de seguridad a lo largo de los años y es por eso que se dice que la “Identidad es el nuevo campo de batalla”. Comprometer un punto final y usar credenciales almacenadas, consultar el Active Directory, moverse lateralmente y escalar los privilegios son características básicas del “playbook” de los atacantes.

La buena noticia es que los responsables de la seguridad en las empresas pueden asegurar sus servicios de directorio cuando entienden los riesgos a los que están expuestos, y saber de inmediato cuando esos recursos están bajo ataque. Gartner recomienda en ese sentido como parte de las acciones hacia los defensores, hacer uso del marco MITRE ATT&CK para correlacionar las técnicas de ITDR con escenarios de ataque comunes.

Al aplicar las recomendaciones anteriores, las empresas pueden además identificar proactivamente las vulnerabilidades para reducir la superficie de ataque, detectar oportunamente la actividad maliciosa y remediar los incidentes relacionados con ITDR antes de que los usuarios puedan elevar sus privilegios y convertir un ataque de pequeña escala en una brecha importante.

Sin duda, el AD es un elemento que necesita ser asegurado de manera estratégica.