Durante estos dos días, el evento se articula en torno a tres ejes principales: talleres, OSINT y conferencias. Estas presentaciones corren a cargo de expertos de diferentes ámbitos.
Entre las conferencias a las que asistí durante mi visita al salón el viernes, me detuve en la conferencia «Active Directory; Hall of Shame», impartida por Nicolas Aunay (alias joker2a)
Durante la misma, nos presentó diferentes formas de penetrar en un AD.
Pero antes de eso, ¿por qué Active Directory es tan popular entre los hackers?
Active Directory se considera el corazón del sistema informático; controlar un AD es sinónimo de poder controlarlo todo.
Lo que lo hace tan vulnerable es que contiene una gran cantidad de información: usuarios, claves y políticas de seguridad.
Lamentablemente, es posible elevar los privilegios para pasar de ser un simple usuario a administrador en muy poco tiempo, a menudo debido a configuraciones incorrectas.
Hay que saber que alrededor del 50 % de las empresas sufren ataques a través de su AD y más del 40 % de estos casos terminan en robos de información y credenciales.
Para corregir todo esto, se recomienda realizar auditorías, establecer el principio del privilegio mínimo y bloquear los protocolos antiguos considerados débiles.
A continuación, resumiré los diferentes vectores de ataque que se han presentado.
Sincronización de CC
El principio del DCSync consiste en que un usuario con este derecho puede hacerse pasar por un controlador de dominio y, de este modo, solicitar información confidencial, como los hash de las contraseñas, a otro controlador de dominio.
Para protegerse de este ataque, es fundamental desactivar este derecho, que podría haberse asignado a grupos de usuarios.
Políticas de contraseñas demasiado débiles
Las políticas de contraseñas eficaces son la piedra angular de la protección contra los ataques. Sin una buena política de contraseñas, pueden darse, por ejemplo, combinaciones de nombre de usuario y contraseña idénticas o contraseñas muy débiles que pueden facilitar enormemente el acceso a la cuenta a un atacante.
Por lo tanto, es necesario definir una política de contraseñas sólida para evitar este tipo de problemas, que se pueden prevenir fácilmente.
Descripciones de las cuentas de usuario
Otro problema que puede surgir es la presencia de contraseñas en los campos de descripción de los usuarios. A menudo ocurre que el servicio de asistencia introduce la contraseña inicial en la descripción para facilitarla al usuario, y este no la cambia necesariamente.
Para evitarlo, hay que concienciar al servicio de asistencia sobre esta mala práctica y obligar al usuario a cambiar su contraseña en el primer inicio de sesión.
Los protocolos denominados «débiles»
Entre los protocolos considerados poco seguros, hay uno que todavía se utiliza con demasiada frecuencia: el NTLMv1.
Su método de cálculo del hash hace que sea bastante fácil de revertir y, por lo tanto, de recuperar la contraseña (menos de un día para una contraseña de 8 caracteres).
Por lo tanto, conviene desactivar este protocolo y utilizar en su lugar el NTLMv2, que cuenta con un método de cálculo más complejo.
Las cuentas de servicio mal gestionadas
Una cuenta de servicio es una cuenta de usuario creada específicamente en un dominio de Active Directory (AD) para permitir que una aplicación se ejecute con derechos de acceso específicos.
Uno de los problemas más habituales es que estas cuentas suelen tener contraseñas débiles, pero, sobre todo, derechos mucho más elevados de lo necesario. Por lo tanto, en caso de que se vean comprometidas, podrían utilizarse para acceder a recursos críticos.
Al utilizar este tipo de cuentas, siempre hay que aplicarles el principio del privilegio mínimo y asignarles contraseñas seguras que se cambien con bastante frecuencia.
Problema de delegación de derechos
Todos los objetos (cuentas, archivos, carpetas, etc.) en Windows cuentan con un sistema de permisos. En caso de configuraciones incorrectas, puede ocurrir que se apliquen derechos demasiado amplios a ciertos archivos o carpetas, por ejemplo.
En ese caso, hacerse con el control de una cuenta que tenga derechos sobre otros objetos permite acceder a estos últimos.
Por lo tanto, es aconsejable verificar los derechos de cada objeto y restringirlos en la medida de lo posible para evitar el movimiento lateral.
Una configuración incorrecta de AD CS
AD CS es una función de Active Directory que permite gestionar diferentes certificados. Una configuración incorrecta de esta función también puede permitir que un atacante comprometa ciertos datos.
El ataque más conocido, denominado ESC1, consiste en aprovechar las plantillas de certificados que permiten a AD CS aplicar diferentes parámetros predeterminados a los nuevos certificados. Tras analizar la plantilla utilizada, es posible solicitar un certificado de una cuenta con privilegios elevados y, de este modo, utilizarlo para acceder a recursos haciéndose pasar por ella.
Para remediarlo, es importante verificar los parámetros utilizados en las plantillas, si están activos y son necesarios, para que no cualquiera pueda comprometer el certificado.
Los recursos compartidos de red accesibles
Uno de los elementos más comunes en una red son los recursos compartidos.
Lamentablemente, estos suelen estar mal configurados y muchas personas pueden acceder a ellos. El primer problema es la confidencialidad de los datos, que quedan así muy expuestos. Además, el contenido no siempre está controlado. Por ejemplo, se pueden encontrar archivos que contengan nombres de usuario y contraseñas de cuentas con privilegios elevados.
Por lo tanto, es importante recordar comprobar periódicamente los recursos compartidos de red y los derechos asociados, así como implementar verificaciones del contenido de los mismos.
Conclusión
En conclusión, la mayoría de los vectores de ataque que se han presentado aquí podrían haberse evitado, ya que se trata principalmente de errores cometidos por los administradores. Por lo tanto, es necesario formarles adecuadamente en estas cuestiones e implantar diversos procedimientos, como la realización de auditorías o el uso de medios de detección.
