Atacando un Active Directory con ZeroLogon CVE-2020-1472
Fundamentos de Active Directory
Active Directory (AD) es un servicio de directorio desarrollado por Microsoft que se utiliza para gestionar y organizar recursos en redes corporativas, como usuarios, grupos, equipos y servicios. Es una parte esencial de la infraestructura de red en entornos empresariales que permite la autenticación, autorización y administración centralizada de los recursos de la red. Aquí te explico los conceptos fundamentales de Active Directory que todo hacker o pentester debe conocer:
1. Dominios
Un dominio en Active Directory es un contenedor lógico que agrupa usuarios, equipos y otros objetos bajo un mismo conjunto de políticas y reglas de seguridad. Cada dominio tiene su propio controlador de dominio (DC) que almacena la base de datos de AD y maneja las solicitudes de autenticación.
2. Controlador de Dominio (Domain Controller - DC)
El Controlador de Dominio es un servidor que ejecuta el servicio de Active Directory y es responsable de la autenticación de usuarios y equipos dentro del dominio. Los atacantes suelen intentar comprometer estos servidores porque controlan el acceso a toda la red.
3. Bosque (Forest)
El bosque es la estructura lógica más alta en AD y puede contener uno o varios dominios que comparten una configuración común de Active Directory, como el esquema de directorio y la autenticación entre dominios. Cada bosque tiene un dominio raíz que lo gestiona.
4. Unidades Organizativas (OU - Organizational Units)
Las Unidades Organizativas son contenedores dentro de los dominios que permiten agrupar objetos (usuarios, grupos, equipos) para aplicar políticas de seguridad (GPO) o delegar control administrativo. Las OUs se utilizan para organizar y gestionar objetos de manera más granular.
5. Grupos
Los grupos en AD permiten agrupar usuarios y otros objetos para aplicar permisos o políticas. Existen dos tipos de grupos:
Grupos de Seguridad: Se utilizan para asignar permisos a recursos.
Grupos de Distribución: Se usan principalmente para listas de distribución de correo electrónico.
6. Políticas de Grupo (GPO - Group Policy Objects)
Las Políticas de Grupo son reglas que los administradores definen y aplican a usuarios y equipos dentro de un dominio o una OU para gestionar configuraciones, restricciones de seguridad, y comportamientos del sistema operativo. Los atacantes suelen buscar GPOs mal configuradas para escalar privilegios.
7. Kerberos
Kerberos es el protocolo de autenticación principal utilizado por AD para autenticar usuarios y servicios dentro del dominio. Funciona mediante la emisión de "tickets" que permiten el acceso a los recursos. Es esencial entender cómo funciona Kerberos para explotar debilidades en su implementación, como ataques de Pass-the-Ticket o Kerberoasting.
8. LDAP (Lightweight Directory Access Protocol)
LDAP es el protocolo utilizado por Active Directory para consultar y modificar los datos almacenados en el directorio. Los atacantes pueden aprovechar LDAP para realizar búsquedas en el directorio y obtener información sobre la infraestructura, como cuentas de usuarios y servidores.
9. Trusts (Relaciones de Confianza)
Las relaciones de confianza permiten que diferentes dominios dentro de un bosque o entre diferentes bosques compartan recursos y servicios. Existen dos tipos de relaciones de confianza:
Intransitivas: Solo válidas entre dos dominios específicos.
Transitivas: Extienden la confianza entre todos los dominios relacionados.
Comprender las relaciones de confianza es clave para atacar dominios adyacentes mediante técnicas de lateral movement.
10. Privilegios y Escalación de Privilegios
AD maneja diferentes niveles de privilegios y permisos para los usuarios. Los hackers buscan escalar privilegios para obtener acceso a cuentas administrativas, como:
Administrador del Dominio (Domain Admin): Nivel más alto de privilegios en un dominio.
Enterprise Admin: Nivel más alto de privilegios en un bosque.
Las técnicas comunes para escalar privilegios incluyen el uso de Pass-the-Hash, Pass-the-Ticket, y Kerberoasting.
11. Delegación de Servicios
La delegación de servicios permite que un servicio en AD actúe en nombre de un usuario para acceder a otro servicio. Si no está bien configurada, la delegación puede ser explotada por atacantes para escalar privilegios mediante ataques de Unconstrained Delegation o Constrained Delegation.
12. NTLM (NT LAN Manager)
Aunque Kerberos es el protocolo principal de autenticación, NTLM sigue estando presente en entornos de Active Directory. Es vulnerable a ataques como Pass-the-Hash y Relay Attacks, donde los atacantes interceptan y reutilizan credenciales.
13. Lateral Movement
Movimiento Lateral es la técnica que permite a los atacantes moverse entre diferentes máquinas y cuentas en la red una vez que han comprometido una parte del entorno de AD. Esto se logra mediante técnicas como Pass-the-Hash, Pass-the-Ticket, o el uso de credenciales válidas.
14. Persistence (Persistencia)
Los atacantes que logran comprometer Active Directory buscan establecer mecanismos de persistencia para mantener el acceso a largo plazo. Esto incluye crear cuentas ocultas con privilegios elevados, modificar GPOs, o utilizar técnicas como Golden Tickets.
Conclusión
Para un hacker, comprender el funcionamiento de Active Directory es fundamental, ya que es el corazón de la infraestructura de red de muchas organizaciones. Las técnicas de escalación de privilegios, movimiento lateral, y persistencia suelen involucrar comprometer un controlador de dominio o aprovechar vulnerabilidades en las configuraciones de AD. Por ello, dominar estos conceptos es clave para cualquier pentester que se enfrente a un entorno basado en Active Directory.
Aprende mas con nuestro Spartan-Book:
Last updated