Indicadores

Un enorme número de solicitudes de autenticación en varios equipos, mediante los protocolos NTLM o Kerberos y provenientes del mismo origen, puede ser indicio de un ataque, probablemente con BloodHound/SharpHound.

La CVE-2020-1472 crítica denominada Zerologon es un ataque que se aprovecha de un error de criptografía en el protocolo de Netlogon, lo que permite que un atacante suplante cualquier equipo y establezca un canal de Netlogon seguro con un controlador de dominio. Desde allí, pueden usarse varias técnicas posteriores a la explotación con el fin de lograr el escalamiento de privilegios, como el cambio de contraseña de la cuenta del controlador de dominio, la autenticación forzada, ataques DCSync y otros. El exploit ZeroLogon suele confundirse con las actividades posteriores a la explotación que usan la autenticación de Netlogon real falsificada (que se trata en el indicador de ataque “Explotación de Zerologon”). Este indicador se centra en una de las actividades posteriores a la explotación que pueden usarse junto con la vulnerabilidad Netlogon: la modificación de la contraseña de la cuenta de máquina del controlador de dominio.

Un ataque Golden Ticket asume el control de una cuenta de servicio de distribución de claves (KRBTGT) de Active Directory y usa esa cuenta para crear tickets de concesión de tickets (TGTs) de Kerberos válidos.

DCShadow es otro ataque kill chain de fase avanzada que permite a un atacante que tiene credenciales con privilegios registrar un controlador de dominio fraudulento para provocar cambios arbitrarios en un dominio a través de la replicación del dominio (por ejemplo, la aplicación de valores de sidHistory prohibidos).

La explotación de DNSAdmins es un ataque que permite que los miembros del grupo DNSAdmins asuman el control de un controlador de dominio que ejecuta el servicio DNS de Microsoft. Un miembro del grupo DNSAdmins tiene los derechos para llevar a cabo tareas administrativas en el servicio DNS de Active Directory. Los atacantes pueden aprovecharse de estos derechos para ejecutar código malintencionado en un contexto de privilegios altos.

El grupo Administradores locales se enumeró con la interfaz de RPC de SAMR, probablemente con BloodHound/SharpHound.

El comando DCSync en Mimikatz permite que un atacante simule un controlador de dominio y recupere los hashes de contraseñas y las claves de cifrado de otros controladores de dominio sin ejecutar ningún código en el objetivo.

La difusión de contraseña es un ataque que intenta acceder a una gran cantidad de cuentas (nombres de usuario) con unas pocas contraseñas que se usan habitualmente; a veces también se conoce como método “bajo y lento”.

La herramienta PetitPotam puede usarse para forzar la autenticación de la máquina objetivo en un sistema remoto, en general para llevar a cabo ataques de retransmisión de NTLM. Si PetitPotam tiene como objetivo un controlador de dominio, un atacante puede autenticarse en otra máquina de la red que retransmite la autenticación del controlador de dominio.

Después de que un usuario inicia sesión, los atacantes pueden intentar acceder al material de credenciales almacenado en la memoria de proceso del Servicio de subsistema de autoridad de seguridad local (LSASS).

Las claves de copia de seguridad de dominio de DPAPI son parte fundamental de la recuperación de secretos de DPAPI. Diversas herramientas de ataque se centran en extraer estas claves de los controladores de dominio mediante llamadas RPC a LSA. Microsoft reconoce que no existe ningún método admitido para rotar o cambiar estas claves. Por lo tanto, si las claves de copia de seguridad de DPAPI para el dominio se ponen en peligro, se recomienda crear un dominio totalmente nuevo desde cero, lo que conlleva una operación costosa y prolongada.

Un ataque de fuerza bruta de adivinación de contraseña consiste en el envío y la comprobación de todas las contraseñas y frases de contraseña posibles hasta encontrar la correcta.

Kerberoasting es un tipo de ataque que tiene como objetivo las credenciales de cuentas de servicio de Active Directory para descifrar contraseñas sin conexión. Este ataque busca acceder a las cuentas de servicio mediante la solicitud de tickets de servicio y, luego, el descifrado sin conexión de las credenciales de las cuentas de servicio. El indicador de ataque Kerberoasting exige la activación de la característica de cuentas honey de Tenable Identity Exposure para enviar una alerta cuando hay un intento de inicio de sesión en la cuenta honey o si esta cuenta recibe una solicitud de un ticket.

El filtrado de NTDS hace referencia a la técnica que usan los atacantes para recuperar la base de datos NTDS.dit. Este archivo almacena secretos de Active Directory como hashes de contraseñas y claves de Kerberos. Una vez que el atacante accede, analiza una copia de este archivo sin conexión, lo que brinda una alternativa a los ataques de DCSync para la recuperación del contenido sensible de Active Directory.

La CVE-2021-42287 crítica puede llevar a una elevación de privilegios en el dominio a partir de una cuenta estándar. El error surge de un mal manejo de las solicitudes destinadas a un objeto con un atributo sAMAccountName inexistente. El controlador de dominio agrega automáticamente un signo de dólar ($) final al valor de sAMAccountName si no encuentra uno, lo que puede conducir a la suplantación de identidad de una cuenta de equipo objetivo.

Kerberoasting es un tipo de ataque que tiene como objetivo las credenciales de cuentas de servicio de Active Directory para descifrar contraseñas sin conexión. Este ataque busca acceder a las cuentas de servicio mediante la solicitud de tickets de servicio y, luego, el descifrado sin conexión de las credenciales de las cuentas de servicio. El método de Kerberoasting clásico se trata en el indicador de ataque Kerberoasting. Como se menciona en el nombre del indicador, hay otro método para llevar a cabo un ataque de Kerberoasting, con un enfoque sigiloso que podría saltarse un montón de detecciones. Las atacantes avanzados podrían preferir este método con la esperanza de mantenerse invisibles a la mayor parte de la heurística de detección.

La vulnerabilidad llamada Zerologon se relaciona con una vulnerabilidad crítica (CVE-2020-1472) en Windows Server, a la que Microsoft otorgó una puntuación de CVSS de 10,0. Consiste en una elevación de privilegios que se da cuando un atacante establece una conexión del canal seguro de Netlogon vulnerable con un controlador de dominio, mediante el protocolo remoto de Netlogon (MS-NRPC). Esta vulnerabilidad permite a los atacantes poner en peligro un dominio y adquirir privilegios de administrador de dominios.

Detecta objetos dinámicos y configuraciones no seguras relacionadas con ellos.

BadSuccessor es un error de escalamiento de privilegios de Active Directory en Windows Server 2025 que explota las dMSA, lo que permite que los atacantes manipulen los vínculos de cuentas y, posiblemente, vulneren el dominio.

Verifica que ningún grupo esté vacío o contenga un solo miembro.

Identifique los permisos potencialmente inseguros que afecten a los recursos de Exchange o que estén asignados a grupos de Exchange.

Detecta servidores de Exchange obsoletos que Microsoft ya no admite, así como aquellos a los que les faltan las actualizaciones acumulativas más recientes.

Enumera los errores de configuración que afectan los recursos de Exchange o los objetos de esquema de Active Directory subyacentes correspondientes.

Recopila información, como los equipos y usuarios híbridos, del entorno local de Active Directory sobre los recursos que se sincronizan con Microsoft Entra ID.

Cuentas poco comunes en grupos confidenciales de Exchange

Muestra errores de configuración potenciales de las cuentas de servicios de dominio.

Comprueba que no haya usuarios, equipos ni grupos duplicados (en conflicto).

Detecta puertas traseras y errores de configuración de Shadow Credentials en la característica “Windows Hello para Empresas” y las credenciales de claves asociadas.

Comprueba que la cuenta de invitado integrada esté deshabilitada.

Se asegura de que las cuentas de servicios administradas (MSAs) se implementen y configuren correctamente.

Comprueba que las cuentas de usuario de Active Directory privilegiadas no se sincronicen con Microsoft Entra ID.

Una guía detallada de la configuración de un silo de autenticación para cuentas con privilegios (nivel 0).

Comprueba que la configuración de servidores DNS no permita las actualizaciones dinámicas sin protección de las zonas DNS.

Enumera los parámetros con errores de configuración relacionados con Windows Server Update Services (WSUS).

Comprueba la integridad de los conjuntos de propiedades y valida los permisos.

Comprueba que el mecanismo “Replicación del sistema de archivos distribuido” (DFS-R) haya reemplazado al “Servicio de replicación de archivos” (FRS).

Comprueba si hay debilidades en las contraseñas que pudieran aumentar la vulnerabilidad de las cuentas de Active Directory.

Se asegura de que el dominio haya implementado medidas de endurecimiento para protegerse frente al ransomware.

Enumere los permisos peligrosos y los parámetros con errores de configuración relacionados con la infraestructura de clave pública (PKI) de Servicios de certificados de Active Directory (AD CS).

Comprueba que los objetos de política de grupo (GPO) que se aplican a los equipos de un dominio estén sanos.

Comprueba los usuarios privilegiados que pueden conectarse a máquinas con privilegios más bajos, lo que genera un riesgo de robo de credenciales.

CVE-2020-1472 (“Zerologon”) afecta al protocolo Netlogon y permite la elevación de privilegios.

Los atributos de Credential roaming son vulnerables, lo que hace que un atacante pueda leer los secretos protegidos del usuario relacionado.

Comprueba los objetos que potencialmente contengan contraseñas de texto no cifrado en los atributos que los usuarios del dominio pueden leer.

Identifica derechos de privilegios sensibles con errores de configuración que disminuyen la seguridad de una infraestructura de directorios.

Garantiza que no haya asignaciones de certificados débiles atribuidas a objetos.

Comprueba que los GPO de endurecimiento se hayan implementado en el dominio.

Comprueba los usuarios privilegiados que no son miembros del grupo Usuarios protegidos.

Identifica las cuentas de usuario que permiten las contraseñas vacías.

Compruebe que los usuarios normales no puedan unir equipos externos al dominio.

Garantiza los cambios periódicos de la contraseña de la cuenta de Microsoft Entra Seamless SSO.

Enumera las entradas del esquema que se consideran anómalas y que podrían ofrecer un medio de persistencia.

Comprueba las actualizaciones periódicas de todas las contraseñas de cuentas activas en Active Directory para reducir el riesgo de robo de credenciales.

Asegúrese de que los permisos definidos en las cuentas de Microsoft Entra Connect estén equilibrados.

Algunos controladores de dominio pueden estar administrados por usuarios no administrativos debido a derechos de acceso peligrosos.

Algunas políticas de contraseñas que se aplican en cuentas de usuario específicas no son lo suficientemente seguras y pueden llevar al robo de credenciales.

Se asegura de que los permisos asignados a objetos y archivos de GPO vinculados a contenedores sensibles, como controladores de dominio o unidades organizativas, sean apropiados y seguros.

El atributo dsHeuristics puede modificar el comportamiento de AD, pero algunos campos son sensibles desde el punto de vista de la seguridad y presentan un riesgo.

Comprueba el nivel funcional correcto de un dominio o bosque, lo que determina la disponibilidad de características avanzadas y opciones de seguridad.

Garantiza la administración segura y centralizada de las cuentas administrativas locales mediante LAPS.

Detecta las cuentas que usan una configuración débil de Kerberos.

Comprueba los permisos inseguros en los objetos raíz, que pueden permitir que usuarios no autorizados roben credenciales de autenticación.

Comprueba los miembros de cuentas de un grupo de acceso compatible con versiones anteriores a Windows 2000 que puedan saltarse las medidas de seguridad.

Las cuentas que ya no se usan no deben permanecer en los grupos con privilegios.

Identifica los sistemas obsoletos a los que Microsoft ya no brinda soporte y que aumentan la vulnerabilidad de la infraestructura.

Comprueba las cuentas de usuario o de equipo que usan un identificador de seguridad privilegiado en el atributo SID history.

Identifica algoritmos criptográficos débiles que se usan en los certificados raíz implementados en una PKI interna de Active Directory.