Active Directory – Objetivo: proteger la joya de la Corona

A medida que las organizaciones crecen en tamaño y su infraestructura de TI se vuelve más compleja, la utilización de sistemas de autenticación de usuarios seguros se convierte en un elemento indispensable. Para tal fin, las organizaciones implementan los servicios de directorio, siendo los más utilizados Active Directory (AD) de Microsoft y OpenLDAP.

Monitorizacion del directorio activo SOC | Active DirectoryA nivel mundial, son numerosas las empresas que eligen Active Directory como servicio de directorio. Su diseño se basa en una estructura jerárquica que almacena información sobre los objetos de una red (estaciones de trabajo, políticas, cuentas de usuario…) en una base de datos centralizada, aportando una gran facilidad para administrar el entorno y aplicar políticas. Además, proporciona servicios de autenticación y autorización. Los servidores que albergan el Active Directory se denominan controladores de dominio.

Dadas las características de este servicio, resulta evidente situar a Active Directory en el centro neurálgico de la red de las organizaciones, convirtiéndose en la “joya de la Corona” de la infraestructura de TI.

Este papel tan relevante que juega el AD viene llamando poderosamente la atención a los ciberdelincuentes. En los últimos tiempos, gran parte de los ataques dirigidos contra las organizaciones se focalizan en los AD, buscando la manera de acceder a los controladores de dominio con el fin de tomar el control del servicio de directorio. Un usuario malintencionado que logre el acceso con privilegios a un controlador de dominio podrá realizar cualquier tarea de gestión sobre la base de datos del AD y, por extensión, sobre todos los sistemas y cuentas administrados por el AD. Una vez comprometido el servicio de directorio, el tiempo que tarde el atacante en causar daños irreparables será escaso, cuestión de minutos u horas.

Normalmente, los atacantes consiguen acceder al directorio mediante cuentas de usuario robadas, escalando después hasta adquirir un rol con privilegios de administrador. Uno de los ataques más devastadores que puede sufrir un AD es el conocido como “Golden Ticket”. Mediante este ataque el ciberdelincuente obtiene el control sobre una cuenta de servicio de distribución de claves de Active Directory (KRBTGT) y la utiliza para falsificar tickets de concesión de tickets Kerberos (TGT) válidos. Con esto consigue el acceso a cualquier recurso asociado a un dominio de Active Directory.

Un ataque del tipo ”Golden Ticket” que tenga éxito y no sea identificado permite que el atacante resida en la red de manera indefinida haciéndose pasar por un usuario administrador válido.

Por otra parte, en el caso de que un AD se vea comprometido, la vuelta a un estado seguro deberá realizarse de forma cuidadosa, partiendo de copias de seguridad cuya integridad esté asegurada y mitigando las brechas de seguridad que permitieron el acceso del atacante.

Por todo ello, resulta esencial dedicar nuestros esfuerzos a bastionar el entorno que conforma el servicio de AD. Por un lado, deberemos abordar la protección física, deberemos asegurarnos de que los servidores que alojan los controladores de dominio, bien sean virtuales o bien sean físicos, están en una ubicación debidamente protegida y con acceso restringido a los usuarios administradores. Respecto a éstos, limitaremos al máximo su número.

Así mismo, deberemos tener en cuenta lo establecido en los principios y recomendaciones proporcionados por el fabricante y que están diseñados para ayudar a proteger el entorno contra atacantes externos y usuarios internos malintencionados o que comentan errores.

Los análisis realizados a servicios de directorio que se han visto comprometidos revelan que las organizaciones tienen una visión limitada sobre el estado de la configuración de su AD. La detección de los posibles riegos a los que esté sometido el AD fruto de configuraciones erróneas o incompletas no suele ser una tarea sencilla y, en muchas ocasiones, la identificación no se produce hasta que se materializa el peligro.

Microsoft, en su documento sobre Procedimientos recomendados para proteger Active Directory, identifica algunas de las vulnerabilidades que son aprovechadas por los atacantes para comprometer el servicio de directorio:

  • Brechas en las implementaciones de antivirus y antimalware
  • Aplicación de parches incompleta
  • Aplicaciones y sistemas operativos obsoletos
  • Errores de configuración
  • Concesión de privilegios excesivos
  • Permitir la instalación de aplicaciones no autorizadas
  • Estandarización de credenciales de administrador local

Más allá de que se tengan en cuenta las recomendaciones para una adecuada configuración del AD, la operación del servicio requiere de un robusto sistema de supervisión de eventos. Este es uno de los aspectos fundamentales que se deben contemplar a la hora de implementar Active Directory. Los eventos nos pueden revelar riesgos en una fase inicial, permitiéndonos abordarlos y mitigarlos.

Es cierto que realizar un seguimiento de los eventos requiere esfuerzo y dedicación, siendo éstas las causas, en muchas ocasiones, de que esta fase de las implementaciones no se llegue a completar.

Para facilitar las tareas de supervisión, además de la herramienta de auditoría que incorpora Active Directory, existen en el mercado otras muy interesantes que se revelan como unas grandes aliadas para que los administradores y los equipos de seguridad puedan conocer en todo momento de manera automatizada, el estado del servicio de directorio. Son herramientas que incorporan capacidades para identificar vulnerabilidades, para ofrecer medidas de mitigación, para detectar ataques y enviar alertas por varias vías. Además, tienen la posibilidad de integrarse con otro tipo de herramientas como los SIEM, de forma que la información se centralice en un único punto.

No olvidemos que nuestro Active Directory es la “joya de la Corona” de la infraestructura informática de la organización y que, por tanto, merece nuestra máxima atención.