Indicadores

DCShadow es otro ataque kill chain de fase avanzada que permite a un atacante que tiene credenciales con privilegios registrar un controlador de dominio fraudulento para provocar cambios arbitrarios en un dominio a través de la replicación del dominio (por ejemplo, la aplicación de valores de sidHistory prohibidos).

El grupo Administradores locales se enumeró con la interfaz de RPC de SAMR, probablemente con BloodHound/SharpHound.

La vulnerabilidad llamada Zerologon se relaciona con una vulnerabilidad crítica (CVE-2020-1472) en Windows Server, a la que Microsoft otorgó una puntuación de CVSS de 10,0. Consiste en una elevación de privilegios que se da cuando un atacante establece una conexión del canal seguro de Netlogon vulnerable con un controlador de dominio, mediante el protocolo remoto de Netlogon (MS-NRPC). Esta vulnerabilidad permite a los atacantes poner en peligro un dominio y adquirir privilegios de administrador de dominios.

La CVE-2020-1472 crítica denominada Zerologon es un ataque que se aprovecha de un error de criptografía en el protocolo de Netlogon, lo que permite que un atacante suplante cualquier equipo y establezca un canal de Netlogon seguro con un controlador de dominio. Desde allí, pueden usarse varias técnicas posteriores a la explotación con el fin de lograr el escalamiento de privilegios, como el cambio de contraseña de la cuenta del controlador de dominio, la autenticación forzada, ataques DCSync y otros. El exploit ZeroLogon suele confundirse con las actividades posteriores a la explotación que usan la autenticación de Netlogon real falsificada (que se trata en el indicador de ataque “Explotación de Zerologon”). Este indicador se centra en una de las actividades posteriores a la explotación que pueden usarse junto con la vulnerabilidad Netlogon: la modificación de la contraseña de la cuenta de máquina del controlador de dominio.

Después de que un usuario inicia sesión, los atacantes pueden intentar acceder al material de credenciales almacenado en la memoria de proceso del Servicio de subsistema de autoridad de seguridad local (LSASS).

La CVE-2021-42287 crítica puede llevar a una elevación de privilegios en el dominio a partir de una cuenta estándar. El error surge de un mal manejo de las solicitudes destinadas a un objeto con un atributo sAMAccountName inexistente. El controlador de dominio agrega automáticamente un signo de dólar ($) final al valor de sAMAccountName si no encuentra uno, lo que puede conducir a la suplantación de identidad de una cuenta de equipo objetivo.

La difusión de contraseña es un ataque que intenta acceder a una gran cantidad de cuentas (nombres de usuario) con unas pocas contraseñas que se usan habitualmente; a veces también se conoce como método “bajo y lento”.

El filtrado de NTDS hace referencia a la técnica que usan los atacantes para recuperar la base de datos NTDS.dit. Este archivo almacena secretos de Active Directory como hashes de contraseñas y claves de Kerberos. Una vez que el atacante accede, analiza una copia de este archivo sin conexión, lo que brinda una alternativa a los ataques de DCSync para la recuperación del contenido sensible de Active Directory.

La herramienta PetitPotam puede usarse para forzar la autenticación de la máquina objetivo en un sistema remoto, en general para llevar a cabo ataques de retransmisión de NTLM. Si PetitPotam tiene como objetivo un controlador de dominio, un atacante puede autenticarse en otra máquina de la red que retransmite la autenticación del controlador de dominio.

Las claves de copia de seguridad de dominio de DPAPI son parte fundamental de la recuperación de secretos de DPAPI. Diversas herramientas de ataque se centran en extraer estas claves de los controladores de dominio mediante llamadas RPC a LSA. Microsoft reconoce que no existe ningún método admitido para rotar o cambiar estas claves. Por lo tanto, si las claves de copia de seguridad de DPAPI para el dominio se ponen en peligro, se recomienda crear un dominio totalmente nuevo desde cero, lo que conlleva una operación costosa y prolongada.

BadSuccessor es un error de escalamiento de privilegios de Active Directory en Windows Server 2025 que explota las dMSA, lo que permite que los atacantes manipulen los vínculos de cuentas y, posiblemente, vulneren el dominio.

Verifica que ningún grupo esté vacío o contenga un solo miembro.

Identifique los permisos potencialmente inseguros que afecten a los recursos de Exchange o que estén asignados a grupos de Exchange.

Detecta servidores de Exchange obsoletos que Microsoft ya no admite, así como aquellos a los que les faltan las actualizaciones acumulativas más recientes.

Enumera los errores de configuración que afectan los recursos de Exchange o los objetos de esquema de Active Directory subyacentes correspondientes.

Recopila información, como los equipos y usuarios híbridos, del entorno local de Active Directory sobre los recursos que se sincronizan con Microsoft Entra ID.

Cuentas poco comunes en grupos confidenciales de Exchange

Muestra errores de configuración potenciales de las cuentas de servicios de dominio.

Comprueba que no haya usuarios, equipos ni grupos duplicados (en conflicto).

Detecta puertas traseras y errores de configuración de Shadow Credentials en la característica “Windows Hello para Empresas” y las credenciales de claves asociadas.