Las principales vulnerabilidades de la infraestructura heredada de Active Directory y cómo las detectan los atacantes

El Active Directory (AD) de Microsoft se ha convertido en un objetivo muy lucrativo para los ciberatacantes. No solo por sus vulnerabilidades de seguridad sino también por el predominio de este servicio de identidad en las empresas (en 2019, el AD seguía siendo utilizado por el 95% de las compañías del Fortune 500) y sus. Los atacantes aprovechan las configuraciones no seguras de AD para identificar vías de ataque, acceder a credenciales privilegiadas y desplegar el ransomware. Numerosos informes publicados recientemente por analistas como 451 Research, Enterprise Management Associates (EMA) y Gartner han puesto de relieve la preocupación colectiva que generan los problemas de seguridad del AD. 

Muchos de los problemas se derivan del hecho de que el AD lleva en funcionamiento desde el año 2000, cuando la ciberseguridad no era una cuestión prioritaria. Muchas organizaciones tienen sistemas de AD antiguos, con componentes que hace años que no se usan, pero que se han convertido en puntos de entrada de los ciberataques. Explotando la infraestructura de administración de identidades de la plataforma, los atacantes pueden escalar sus privilegios. A partir de aquí, ya todo es posible: pueden desplegar el ransomware, robar datos o incluso hacerse con el control de la organización.

Según un estudio de EMA, solo en los dos últimos años, el 50% de la organizaciones han sufrido un ataque específico contra AD y más del 40% de estos ataques han tenido éxito. Para empeorar aún más las cosas, quienes realizan las pruebas de penetración suelen poder aprovechar las vulnerabilidades detectadas en AD aproximadamente un 80% de las veces.

Revisar las infraestructuras de AD heredadas en busca de vulnerabilidades

Las organizaciones pueden tomar medidas para prevenir algunas de las vulnerabilidades de seguridad habituales del AD. Aquí hay 4 buenas prácticas por ejemplo que permitan a los responsables de seguridad en las empresas identificar y resolver los fallos de seguridad de su entorno de infraestructura del AD.

1. Mantener una higiene de AD adecuada

El mantenimiento de una higiene adecuada en el entorno de AD es fundamental para luchar contra los ciberdelincuentes. Si el servicio de directorio está configurado de manera segura y limpia los errores de configuración, el sistema resultará mucho menos atractivo para los atacantes.

Esta tarea de mantenimiento incluye en primer lugar revisar constantemente la instalación del AD en toda su complejidad, para destapar las vulnerabilidades de seguridad y los vectores de ataque potenciales. En segundo lugar, supone aplicar unas medidas básicas en materia de ciberseguridad, como borrar las cuentas huérfanas, aplicar una política estricta de control de los accesos, implementar una administración efectiva de los riesgos y quitar los componentes antiguos. Esta última medida es, posiblemente, la más importante.

2. La mayoría de las vulnerabilidades importantes de AD tienen mucho en común

Los puntos débiles en la seguridad de AD que los ciberdelincuentes aprovechan con frecuencia tienen similitudes. Las tres más comunes actualmente son PetitPotam, PrintNightmare y el Historial de SID.

¿Qué tienen en común estas vulnerabilidades? Ante todo, son objetivos fáciles, pero también porque aprovechan componentes antiguos del AD. Dicho esto, cabe destacar que son fáciles de solucionar —el único problema es que uno tiene que saber dónde y cómo buscarlas.

3. Los atacantes suelen buscar objetivos de AD específicos

Cuando los atacantes se dirigen contra un entorno de AD, no suelen usar unos métodos muy sofisticados. Lo que hacen es lo mismo que los ladrones que merodean por un parking en busca de puertas o ventanillas abiertas —tratan de encontrar el camino más fácil que les proporcione el máximo beneficio posible.

Estos son algunos de los objetivos más comunes:

• • Sistemas heredados: los componentes más viejos suelen ser infrautilizados, mal monitorizados y muy fáciles de penetrar.
• • Errores de configuración de SID: sobre todo en forma de SID con privilegios huérfano.
• • Problemas con la política de seguridad: las directivas de seguridad de grupos con errores de configuración son un objetivo habitual.

 

4. Utilizar herramientas de evaluación para descubrir las vulnerabilidades

Las herramientas que examinan su entorno de AD en busca de indicadores de exposición al riesgo y de peligro pueden ayudarle a detectar y resolver las vulnerabilidades habituales. Aunque lo ideal es utilizar una solución que supervise constantemente su entorno de AD en busca de vulnerabilidades de seguridad, el uso regular de una herramienta de detección independiente (lo más adecuado es usarla dos veces al mes) ofrece una visión más completa de los posibles problemas y una hoja de ruta para resolverlos.

La protección de AD es un proceso continuo

El AD es el elemento fundamental para la administración de identidades y de accesos en la mayoría de las organizaciones, por lo que va a seguir siendo una pieza clave del rompecabezas de la seguridad de las infraestructuras, aunque los recursos pasen cada vez más a la nube: el AD es la base de la arquitectura de identidad híbrida que se usa de manera generalizada hoy en día. Aunque el AD no va a desaparecer en un futuro inmediato y tiene unos puntos débiles de seguridad muy conocidos, las organizaciones pueden mejorar su posición global de seguridad realizando análisis sistemáticos para buscar los errores de configuración de este que más suelen aprovechar los ciberdelincuentes. el  AD sigue siendo un instrumento valioso. Tan solo tenemos que usarlo de un modo correcto y seguro, ya que, si lo descuidamos, dejaremos las puertas abiertas a los atacantes.

Nuno Antunes Ferreira, director para España y Portugal, Semperis