Los tres ataques que un usuario con privilegios puede utilizar
- Actualidad
Asegurando que el panorama del Directorio Activo está cambiando y que cada vez es más difícil saber en quién podemos confiar, dice Luc Delsalle, CTO y co-fundador de Alsid, que hay que saber cómo podríamos ser atacados por los usuarios con privilegios.
Existen tres ataques diferentes que un usuario privilegiado puede realizar y que. Según el directivo, “les otorga privilegios persistentes en áreas que son casi imposibles de monitorizar e incluso ver que el ataque se ha realizado”.
El primero es el ataque DCSync, según el cual un usuario privilegiado, que no tiene por qué ser un humano, “sino alguien que use la cuenta” puede realizar una solicitud para obtener los hash de contraseña. Con ellos el atacante puede realizar ataques de hash de contraseña sin conexión y análisis en los usuarios para comprometer sus credenciales, explica Luc Delsalle en un post, añadiendo que el ataque es persistente porque los hash del usuario se pueden obtener en cualquier momento ejecutando un comando simple, asegurando que se obtengan las contraseñas actualizadas y su hash.
Si te interensa conocer Cómo hacer frente a los ciberataques protegiendo el Directorio Activo no te pierdas nuestro webinar.
El ataque DCShadow busca modifica o crear objetos en el Directorio Activo. Explica el CTO de Alsid que mediante este ataque se creará un controlador de dominio "falso" y se inyectará en la secuencia de replicación de Active Directory; “una vez que el nuevo controlador de dominio se inyecta en la secuencia de replicación, cualquier objeto puede actualizarse sin dejar rastro de la actualización. Y dado que el cambio no se detecta en un registro o un SIEM, el cambio es persistente y desconocido.
El último ataque de usuario con privilegios está relacionado con la manera en que el Directorio Activo protege las cuentas privilegiadas. Explica Luc Delsalle que el Directorio Activo actualiza constantemente los permisos de los usuarios y grupos privilegiados para garantizar que estos objetos puedan realizar sus actividades. Esto se realiza a través de AdminCount, que establece qué objetos son los objetos privilegiados, y de AdminSDHolder, una lista que se envía a todos los objetos privilegiados cada 60 minutos para garantizar que las cuentas privilegiadas mantengan sus privilegios, y ambos pueden ser modificados sin demasiada dificultad. “Existen algunas soluciones que pueden detectar este ataque persistente, pero Active Directory de forma nativa lo permite de manera predeterminada”, asegura el CTO de Alsid.
La conclusión es que el Directorio Activo “debe tener algún mecanismo que pueda exponer estos ataques”. Alsid, que llega a España de la mano de Exclusive Networks, monitoriza y alerta sobre actividades peligrosas, pero además investiga las configuraciones existentes para informar dónde se encuentran los problemas.