Para fortalecer la ciberseguridad, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), en colaboración con varias agencias internacionales de ciberseguridad, ha publicado una guía completa para detectar y mitigar las infracciones de Active Directory.
Esta guía ha sido publicada por la Dirección de Señales de Australia (ASD), la Agencia de Seguridad Nacional (NSA), el Centro Canadiense de Seguridad Cibernética (CCCS), el Centro Nacional de Seguridad Cibernética de Nueva Zelanda (NCSC-NZ) y el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC-UK). Es coautor y tiene como objetivo informar a las organizaciones sobre técnicas comunes utilizadas por atacantes maliciosos para atacar Microsoft Active Directory.
Active Directory es la base para la autenticación y autorización en redes de TI empresariales de todo el mundo e incluye servicios como Active Directory Domain Services (AD DS), Active Directory Federation Services (AD FS) y Active Directory Certificate Services (AD CS). proporcionar
Sin embargo, debido a su papel vital, Active Directory se ha convertido en un objetivo principal para los ciberatacantes. Esta guía destaca que Active Directory es susceptible de verse comprometido debido a su configuración predeterminada laxa, relaciones complejas, compatibilidad con protocolos heredados y falta de herramientas adecuadas para diagnosticar problemas de seguridad.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Registro gratuito
Técnicas comunes explotadas por actores maliciosos
Esta guía detalla 17 técnicas comunes utilizadas por atacantes malintencionados para comprometer Active Directory.
Las principales técnicas son:
Kerberoasting: abusa de un objeto de usuario configurado con un nombre principal de servicio (SPN) para obtener un ticket del servicio de concesión de tickets (TGS). Descifrar este ticket revela la contraseña en texto sin cifrar.
Tostado de respuesta del servidor de autenticación (AS-REP): esta técnica se dirige a objetos de usuario que no requieren autenticación previa de Kerberos y permite a un atacante obtener contraseñas descifrando el ticket de respuesta del servidor de autenticación (AS-REP).
Rociado de contraseñas: una técnica de ataque de fuerza bruta en la que un atacante intenta iniciar sesión utilizando una contraseña común para varias cuentas.
Compromiso MachineAccountQuota: abusa de la cuota predeterminada de cuentas de máquina que un usuario puede crear para obtener acceso no autorizado.
Delegación sin restricciones: permite a un atacante hacerse pasar por cualquier usuario dentro del dominio.
estrategia de mitigación
Esta guía proporciona poderosas estrategias de mitigación para protegerse contra estas amenazas.
Implementación del modelo de acceso empresarial de Microsoft: este modelo en capas garantiza que los objetos de usuario de nivel 0 (objetos con derechos de acceso confidenciales) no expongan sus credenciales a los sistemas subyacentes y que los objetos de computadora de nivel 0 estén protegidos por objetos de usuario de nivel 0 cuya administración se garantiza. solo.
Minimización de SPN: limite la superficie de ataque de Kerberoasting reduciendo la cantidad de objetos de usuario configurados con SPN.
Garantizar la autenticación previa de Kerberos: configure todos los objetos de usuario para que requieran la autenticación previa de Kerberos para mitigar el tostado AS-REP.
Utilice cuentas de servicios administradas por grupos (gMSA): rote automáticamente las contraseñas y proteja las cuentas de servicios con contraseñas complejas e impredecibles.
Monitoreo y registro: registre y analice de manera centralizada eventos como solicitudes de tickets TGS para detectar actividades sospechosas.
Los compromisos de Active Directory pueden ser difíciles de detectar debido a las similitudes entre la actividad legítima y la maliciosa.
Esta guía recomienda el uso de herramientas como BloodHound, PingCastle y Purple Knight para comprender e identificar configuraciones erróneas y debilidades.
También se recomienda analizar ID de eventos específicos, como 4769, en solicitudes de tickets TGS para identificar posibles actividades de Kerberoasting.
La publicación de esta guía destaca la necesidad crítica de que las organizaciones prioricen la seguridad de sus entornos de Active Directory.
Al comprender las técnicas comunes utilizadas por los atacantes maliciosos e implementar las estrategias de mitigación recomendadas, las organizaciones pueden fortalecer significativamente su postura de ciberseguridad y protegerse de ataques que pueden causar violaciones devastadoras.
A medida que las amenazas cibernéticas continúan evolucionando, mantenerse informado y proactivo es esencial para mantener la integridad de la red de TI de su empresa.
Analice enlaces sospechosos utilizando la nueva herramienta de Navegación Segura de ANY.RUN. Pruébalo gratis.
CISA Releases Active Directory Security Guide to Mitigate Cyber Attacks
