Las organizaciones suelen implementar autenticación multifactor (MFA) y suponen que una contraseña robada no es suficiente para obtener acceso a un sistema. En entornos Windows, esa suposición suele ser incorrecta. Los atacantes siguen utilizando credenciales válidas para violar las redes todos los días. El problema no es la MFA en sí, sino la cobertura.
La MFA aplicada a través de un proveedor de identidad (IdP) como Microsoft Entra ID, Okta o Google Workspace funciona bien con aplicaciones en la nube e inicios de sesión federados. Sin embargo, muchos inicios de sesión de Windows dependen únicamente de rutas de autenticación de Active Directory (AD) que no activan solicitudes de MFA. Para reducir los compromisos basados en credenciales, los equipos de seguridad deben comprender dónde ocurre la autenticación de Windows fuera de la pila de identidades.
7 rutas de certificación de Windows en las que confían los atacantes
1. Inicio de sesión interactivo de Windows (local o unido a un dominio)
Cuando los usuarios inician sesión directamente en una estación de trabajo o servidor Windows, la autenticación normalmente la maneja AD (a través de Kerberos o NTLM) en lugar de un IdP en la nube.
En un entorno híbrido, aunque Entra ID aplica MFA para aplicaciones en la nube, los controladores de dominio locales validan los inicios de sesión tradicionales de Windows en sistemas unidos a un dominio. No hay elementos adicionales en ese flujo a menos que se implemente Windows Hello para empresas, tarjetas inteligentes u otro mecanismo MFA integrado.
Una vez que un atacante tiene una contraseña de usuario (o hash NTLM), puede autenticarse en una computadora unida a un dominio sin activar las políticas MFA que protegen las aplicaciones de software como servicio o el inicio de sesión único federado. Desde la perspectiva del controlador de dominio, esta es una solicitud de autenticación estándar.
Herramientas como Specops Secure Access son clave para limitar el riesgo de uso indebido de credenciales en tales escenarios. Esta herramienta dificulta que los atacantes obtengan acceso no autorizado a su red al aplicar MFA en los inicios de sesión de Windows, así como en las conexiones VPN y de Protocolo de escritorio remoto (RDP). Esto también se aplica a los inicios de sesión sin conexión, que están protegidos mediante autenticación con contraseña de un solo uso.
Acceso seguro a Specops
2. Acceso RDP directo sin pasar por el acceso condicional
RDP es uno de los métodos de acceso más específicos en entornos Windows. Incluso si RDP no está expuesto a Internet, los atacantes suelen llegar a él mediante un movimiento lateral después de un compromiso inicial. Las sesiones RDP directas al servidor no pasan automáticamente los controles MFA basados en la nube. Esto significa que el inicio de sesión sólo puede depender de las credenciales de AD subyacentes.
3. Autenticación NTLM
NTLM es un protocolo de autenticación heredado que todavía existe por razones de compatibilidad, aunque ha quedado obsoleto en favor del protocolo Kerberos, más seguro. Este también es un vector de ataque común, ya que admite técnicas como pass-the-hash.
En un ataque pass-the-hash, el atacante no necesita la contraseña en texto plano. En su lugar, utilice hashes NTLM para autenticarse. MFA es inútil si el sistema acepta hashes como prueba de identidad.
NTLM también puede aparecer en flujos de autenticación internos que una organización no monitorea activamente. Sólo los incidentes o auditorías surgen ante los equipos de seguridad.
4. Abuso de tickets de Kerberos
Kerberos es el protocolo de autenticación principal de AD. En lugar de robar contraseñas directamente, los atacantes roban tickets de Kerberos de la memoria o generan tickets falsificados después de comprometer una cuenta privilegiada. Esto permite técnicas como:
Pase de Cercanías Boleto Dorado Boleto Plata
Estos ataques permiten el acceso a largo plazo y el movimiento lateral, lo que reduce la necesidad de inicios de sesión repetidos y reduce la probabilidad de detección. Estos ataques pueden continuar incluso después de restablecer la contraseña si el compromiso subyacente no se resuelve por completo.
5. Reutilizar cuentas y credenciales de administrador local
Las organizaciones todavía dependen de cuentas de administrador local para tareas de soporte y recuperación del sistema. Si las contraseñas de administrador local se reutilizan en todos los puntos finales, un atacante puede potencialmente amplificar una única infracción con acceso generalizado.
Las cuentas de administrador local normalmente se autentican directamente en el punto final, evitando por completo los controles de MFA. No se aplican las políticas de acceso condicional de Entra ID. Ésta es una de las razones por las que los volcados de credenciales son tan eficaces en entornos Windows.
6. Autenticación y movimiento lateral del bloque de mensajes del servidor (SMB)
SMB se utiliza para compartir archivos y acceder remotamente a recursos de Windows. También es una de las rutas de movimiento lateral más confiables si un atacante obtiene credenciales válidas. Los atacantes suelen utilizar SMB para acceder a recursos compartidos administrativos como C$ o para interactuar con el sistema de forma remota utilizando credenciales válidas.
Si la autenticación SMB se trata como tráfico interno, rara vez se aplica MFA en esta capa. Si un atacante tiene credenciales válidas, se puede utilizar SMB para moverse rápidamente entre sistemas.
7. Cuentas de servicio que no activan MFA
Las cuentas de servicio existen para ejecutar tareas programadas, aplicaciones, integraciones y servicios del sistema. A menudo tienen credenciales estables, amplios privilegios y una larga vida útil.
En muchas organizaciones, las contraseñas de las cuentas de servicio nunca caducan y rara vez se controlan. También es difícil proteger con MFA porque la autenticación está automatizada. Estas cuentas suelen ser utilizadas por aplicaciones heredadas que no pueden admitir controles de autenticación modernos.
Esta es una de las razones por las que los atacantes apuntan a las credenciales de la mesa de ayuda y al acceso del administrador de endpoints durante las primeras etapas de un compromiso.
Cómo cerrar la brecha de autenticación de Windows
Los equipos de seguridad deben tratar la autenticación de Windows como su propio aspecto de seguridad. Hay varias medidas prácticas que los equipos de seguridad pueden tomar para reducir el riesgo.
1. Aplicar políticas de contraseñas más seguras en AD
Una política de contraseñas segura debe imponer frases de contraseña largas de al menos 15 caracteres. Las frases de contraseña son fáciles de recordar para los usuarios y difíciles de descifrar para los atacantes. Una política sólida también debería impedir la reutilización de contraseñas y bloquear patrones débiles que un atacante pueda adivinar.
2. Bloquear continuamente las contraseñas filtradas
El robo de credenciales no es necesariamente el resultado de un ataque de fuerza bruta. Ya existen miles de millones de contraseñas en conjuntos de datos comprometidos que los atacantes pueden reutilizar en ataques de credenciales. El bloqueo de contraseñas comprometidas en el momento de su creación reduce la probabilidad de que los usuarios establezcan credenciales que un atacante ya tiene.
3. Reducir la exposición a los protocolos de autenticación tradicionales
Si es posible, las organizaciones deben limitar o eliminar la autenticación NTLM. Los equipos de seguridad deben comprender dónde existe NTLM y establecer el objetivo de reducirlo donde sea posible y reforzar los controles donde no se pueda eliminar.
4. Audite las cuentas de servicio y reduzca la pérdida de privilegios
Trate las cuentas de servicio como identidades de alto riesgo. Las organizaciones deben hacer un inventario de las cuentas, reducir los privilegios innecesarios, rotar las credenciales y eliminar las cuentas que ya no sean necesarias. Si una cuenta de servicio tiene permisos a nivel de dominio, las organizaciones deben asumir que será el objetivo.
Cómo puede ayudar Specops
Las políticas de contraseñas sólidas y las comprobaciones proactivas de credenciales comprometidas conocidas son dos de las formas más efectivas de reducir el riesgo de ataques basados en credenciales. Las políticas de contraseña de Specops ayudan mediante la aplicación de controles de contraseña flexibles más allá de los disponibles de forma nativa en Microsoft.
Política de contraseñas de Specops
La protección de contraseña comprometida verifica continuamente las contraseñas de Active Directory con una base de datos de más de 5,4 mil millones de credenciales expuestas y le avisa de inmediato si se descubre que la contraseña de un usuario ha sido comprometida. Si está interesado en cómo Specops puede ayudar a su organización, hable con un experto o programe una demostración para ver la solución en acción.
Source link
