Descripción breve
Los proveedores de infraestructuras de Microsoft se han dedicado a implementar en sus arquitecturas de Directorio Activo ciertos esquemas y formas de operación que se han limitado a buenas prácticas funcionales y no se han contemplado criterios importantes de ciberseguridad más allá de la asignación de cuentas privilegiadas a nivel de la estructura de Directorio Activo.
Descripción amplia
Muchas de esas prácticas en la implementación tradicional del Directorio Activo son utilizadas ahora por el atacante para atacar a la organización, abusando de esas formas de operar y de la forma en que intrinsecamente se implementan los esquemas de single-sign-on en la arquitectura de Directorio Activo, logrando detonar una diversidad de formas de atacar el dominio mismo.
Utilizando herramientas de última generación disponibles públicamente y diversas metodologías de ciberseguridad, un atacante preparado o incluso una pieza de malware puede ahora comprometer una infraestructura compleja de directorio en cuestión de horas, al apoderarse de credenciales de Domain Admin o Administrador de Dominio, comprometiendo de golpe la totalidad de activos digitales del cliente, incluyendo sistemas internos, información confidencial, buzones de correo, bases de datos, etc.
Nuestro servicio de pruebas de seguridad al directorio activo incluye:
- Riesgo de ataques por Pass-the-Hash.
- Riesgo de ataque por movimiento lateral.
- Riesgo de ataque por escalación de privilegios.
- Riesgo de ataque por inyección DLL en memoria.
- Riesgo de ataque a SMB.
- Riesgo de ataque a NTLMv2.
- Riesgo de ataque a Kerberos (Creación y reuso de Golden Tickets).
- Riesgo de ataque de sincronización de Directorio Activo (DA).
- Riesgo de abusos de Powershell.
- Riesgo de ataque a la base de datos de Directorio Activo.
- Riesgo de volcado masivo de credenciales de RAM o de las bases de datos de DA.
- Riesgos ante ataque de ransomware y malware de última generación.
- Riesgos de ataque a cuentas de servicios de AD
- Riesgo de robo masivo de credenciales, incluyendo el abuso de protocolos LLMNR, NTLMv2, etc.