Descripción breve

Los proveedores de infraestructuras de Microsoft se han dedicado a implementar en sus arquitecturas de Directorio Activo ciertos esquemas y formas de operación que se han limitado a buenas prácticas funcionales y no se han contemplado criterios importantes de ciberseguridad más allá de la asignación de cuentas privilegiadas a nivel de la estructura de Directorio Activo.

Descripción amplia

Muchas de esas prácticas en la implementación tradicional del Directorio Activo son utilizadas ahora por el atacante para atacar a la organización, abusando de esas formas de operar y de la forma en que intrinsecamente se implementan los esquemas de single-sign-on en la arquitectura de Directorio Activo, logrando detonar una diversidad de formas de atacar el dominio mismo.

Utilizando herramientas de última generación disponibles públicamente y diversas metodologías de ciberseguridad, un atacante preparado o incluso una pieza de malware puede ahora comprometer una infraestructura compleja de directorio en cuestión de horas, al apoderarse de credenciales de Domain Admin o Administrador de Dominio, comprometiendo de golpe la totalidad de activos digitales del cliente, incluyendo sistemas internos, información confidencial, buzones de correo, bases de datos, etc.

Nuestro servicio de pruebas de seguridad al directorio activo incluye:

  • Riesgo de ataques por Pass-the-Hash.
  • Riesgo de ataque por movimiento lateral.
  • Riesgo de ataque por escalación de privilegios.
  • Riesgo de ataque por inyección DLL en memoria.
  • Riesgo de ataque a SMB.
  • Riesgo de ataque a NTLMv2.
  • Riesgo de ataque a Kerberos (Creación y reuso de Golden Tickets).
  • Riesgo de ataque de sincronización de Directorio Activo (DA).
  • Riesgo de abusos de Powershell.
  • Riesgo de ataque a la base de datos de Directorio Activo.
  • Riesgo de volcado masivo de credenciales de RAM o de las bases de datos de DA.
  • Riesgos ante ataque de ransomware y malware de última generación.
  • Riesgos de ataque a cuentas de servicios de AD
  • Riesgo de robo masivo de credenciales, incluyendo el abuso de protocolos LLMNR, NTLMv2, etc.
whitehat-consultores-servicios-Imagenes-5_13

Unidades de Negocio WHC

Los proveedores de infraestructuras de Microsoft se han dedicado a implementar en sus arquitecturas de Directorio Activo ciertos esquemas y formas de operación que se han limitado a buenas prácticas funcionales y no se han contemplado criterios importantes de ciberseguridad más allá de la asignación de cuentas privilegiadas a nivel de la estructura de Directorio Activo.

Muchas de esas prácticas en la implementación tradicional del Directorio Activo son utilizadas ahora por el atacante para atacar a la organización, abusando de esas formas de operar y de la forma en que intrinsecamente se implementan los esquemas de single-sign-on en la arquitectura de Directorio Activo, logrando detonar una diversidad de formas de atacar el dominio mismo. Utilizando herramientas de última generación disponibles publicamente y diversas metodologías de ciberseguridad, un atacante preparado o incluso una pieza de malware puede ahora comprometer una infraestructura compleja de directorio en cuestión de horas, al apoderarse de credenciales de Domain Admin o Administrador de Dominio, con todo el efecto devastador que implica.

Análisis de riesgo de ciberseguridad a Directorio Activo

El activo más importante y el más ignorado en las organizaciones actuales es el Directorio Activo. Mediante nuestro servicio, realizaremos pruebas avanzadas de penetración al Directorio Activo y de robo de credenciales, incluyendo la máxima superficie de ataque al mismo: Controladores de Dominio, máquinas de usuario y servidores de aplicaciones, cuentas y grupos privilegiados, relaciones de delegación y confianza, estaciones de trabajo administrativas, roles y privilegios, etc.

Tipos de pruebas de seguridad efectuadas al Directorio Activo

En este ecosistema completo de Directorio Activo y con dominio de técnicas avanzadas de atacante, se medirán al menos los siguientes riesgos:

  • Riesgo de ataques por pass-the-hash y movimiento lateral
  • Riesgo de ataque por escalación de privilegios
  • Riesgo de ataque por inyección DLL
  • Riesgo de ataque a NTLM y Kerberos
  • Riesgo de ataque de sincronización remota de AD
  • Riesgo de robo masivo de credenciales
  • Riesgo de acceso a los sistemas críticos de la organización

Implementación de medidas de mitigación en Directorio Activo

Dado que los especialistas en implementación de Directorio Activo tradicionales no están familiarizados con técnicas de ataque modernas y con las amenazas avanzadas, no son capaces de entender el problema y mucho menos trabajar en una arquitectura defensiva efectiva; la implementación adecuada del Directorio Activo significa conformar un equipo conjunto de trabajo entre el personal responsable de configurar y administrar el directorio activo y personal de ciberseguridad que entienda el modelado de amenazas y los patrones de atacante.

Roles separados de maker y checker

El equipo de operación del Directorio Activo implementa los controles y recomendaciones del fabricante y el equipo de seguridad juega un rol consultivo y de validación, diferenciando los roles de maker y checker.