Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Microsoft
2. Políticas de Contraseñas
Una política de contraseñas débil puede ser útil para realizar ataques de
tipo passwordspraying (esto debe realizarse cuidadosamente para no bloquear cuentas) o para el
posterior crackeo de hashes identificados. Además, en caso de que no exista política de bloqueo
tras intentos fallidos, sería posible hacer fuerza bruta contra todo el dominio sin temor a bloquear
las cuentas de usuario.
Se debe verificar que no se estén utilizando sistemas operativos fuera de soporte y/o
desactualizados. Este tipo de equipos pueden ser muy útiles, ya que es altamente probable que
tengan vulnerabilidades explotables con exploits públicos. Aunque no se traten de objetivos
relevantes, acceder a ellos puede ser interesante para obtener las credenciales que tengan
Uso
Interno /
Internal
Use
almacenadas. Es muy importante avisar al responsable de IT de que se va a hacer uso de exploits,
por si estos pudiesen causar una caída en el servicio de la empresa.
En un punto anterior se indicaba que era necesario identificar cuentas con permisos elevados,
pues este es un tipo concreto de cuenta privilegiada. Estas pueden tener delegado en ellas el
poder de impersonar a cualquier usuario del dominio para una serie de servicios determinados.
Gracias a esto, si se consigue comprometer una cuenta con constrained delegation, es posible
suplantar a cualquier usuario para servicios de Windows como host, RPCSS, http, wsman, cifs,
ldap, krbtgt o winrm.
Este es otro tipo de cuenta privilegiada de alto interés. Estas cuentas están autorizadas para
recibir y almacenar los TGT (Ticket Granting Ticket) de kerberos de cualquier cuenta. Es por
ello, que al acceder a ellas sería posible extraer los tickets almacenados en las mismas. Por otro
lado, también es posible realizar ataques de autenticación forzada sobre esta máquina, es decir,
forzar a cualquier máquina del domino a autenticarse contra la
máquina unconstrained comprometida. De esta manera, la nueva víctima (el controlador de
dominio, por ejemplo) enviaría una copia de su TGT a la máquina unconstrained, siendo posible
su interceptación.
Seguimos con cuentas privilegiadas interesantes. En este caso es necesario identificar cuentas con
permisos de DCSync, es decir, cuentas que tengan los permisos DS-Replication-Get-Changes-
All y DS-Replication-Get-Changes. Si conseguimos comprometer una credencial con estos
permisos, podremos realizar un ataque de DCSync, o lo que es lo mismo, simular que somos un
controlador de dominio que quiere sincronizar su base de datos (ntds.dit) con la del controlador
de dominio real. De esta manera se obtendrían todos los hashes del dominio, incluyendo los del
Domain Admin.
Este tipo de ataque se basa en utilizar herramientas como certify o certipy para identificar
plantillas de certificados vulnerables en la CA (certificate authority) corporativa. Existen una
serie de escenarios vulnerables posibles, que permiten a un atacante solicitar certificados en
nombre de otros usuarios, por ejemplo, de un Domain Admin o de cualquier cuenta privilegiada.
Es posible que en los directorios activos se encuentren máquinas con servicios diferentes a los
propios del directorio activo desplegados (aunque no es una buena práctica), por ejemplo, Jenkins
o servicios SQL. Es importante identificar estos servicios para comprobar si son vulnerables, ya
que en muchas ocasiones pueden servir como punto de acceso a la máquina en la que se están
ejecutando. La situación ideal para un atacante sería identificar un servicio que poder explotar, y
que este estuviese siendo ejecutado con un usuario administrador local de la máquina. De esta
manera, al conseguir ejecución remota de código mediante el servicio explotable, sería posible
comprometer toda la máquina.
Uso
Interno /
Internal
Use
13. Kerberoasting
Conclusión
Acabamos de ver solo algunas de las técnicas mas utilizadas durante una auditoría, pero los atacantes
descubren técnicas nuevas todos los días, cada cual más innovadora. Por ello os invitamos a que
investiguéis y descubráis vuestros propios caminos hacia controladores de dominio.
Uso
Interno /
Internal
Use