Un pirata informático puede escalar los privilegios en un dominio de muchas maneras, y aprender cómo funcionan es la mitad de la batalla para reducir su superficie de ataque. En esta publicación, veremos cinco formas en las que un usuario sin privilegios (de ahora en adelante solo llamado «usuario») puede usar para ser dueño de su red y cómo puede protegerse.
Además asumimos que el atacante tiene acceso a una computadora unida a un dominio o tiene acceso a la red.
1. Escalada a la cuenta del SISTEMA
Escalar los privilegios a la cuenta del sistema local en la computadora es, en varios casos, lo primero que debe hacer un atacante. El atacante puede usar una amplia gama de técnicas para realizar la escalada, y algunas de ellas son resumido aquí.
Decididamente, ha hecho la mitad del trabajo para el atacante si el usuario ya tiene un administrador local en la computadora. He resumido un par de los métodos a continuación para que pueda obtener una imagen de cómo los atacantes se elevan a SYSTEM.
Consejos de mitigación:
- Establezca una sólida primera línea de defensa con AppLocker.
- Poner en práctica soluciones como ATP.
- Eduque a los usuarios con la mentalidad de “pensar primero, hacer un clic después” (aún cuando a veces algunos pueden hacerlo al revés).
- Implementación de Credential Guard.
Permisos incorrectos en ejecutables / scripts ejecutados por una cuenta privilegiada
Este es uno de los métodos más comunes que puede usar un atacante para escalar a SYSTEM. El atacante busca tareas o servicios programados que se inician con una cuenta privilegiada en esa computadora (dicho de otra forma, SISTEMA o inclusive un usuario de dominio). Posteriormente, el atacante escanea los archivos EXE / scripts y DLL relacionados con él para ver si el usuario que posee tiene que escribir permisos.
El atacante después intercambia o modifica los archivos EXEs / Scripts o DLL a algo que les da una puerta trasera a la cuenta del SISTEMA a través de el uso de herramientas como Encender.
Consejo de mitigación:
Analice y supervise los permisos de archivos en los archivos ejecutables, scripts y DLL que usan sus servicios y tareas programadas.
Faltan parches de seguridad
Desde 2015, más de 100 CVE publicados para Windows 10 han permitido a un atacante escalar sus privilegios en una computadora. ¡No olvide actualizar además los controladores! Ya sabe, de todos modos, que parchear sus sistemas es esencial, pero siempre es bueno con un recordatorio.
2. Pase el hachís
Pase el hachís (PTH) es una técnica común que usan los atacantes una vez que disponen privilegios de administrador local o de SISTEMA. PTH ya se descubrió en 1997, pero es una falla «por diseño» en el mecanismo de autenticación de Windows NTLM.
PTH no le da la contraseña en texto sin cifrar, lo que hace es que reutiliza el hash NTLM de la contraseña de un usuario para autenticarse en otros sistemas.
El atacante puede usar herramientas como Mimikatz para extraer el hash NTLM de la memoria, lo que de forma general necesita que un usuario con más privilegios que el usuario propietario inicie sesión en los sistemas para que sea efectivo. Pero, ¿cómo conocen los atacantes que un administrador iniciará sesión en esa computadora? Bueno, eso es fácil: generan problemas con la máquina y esperan a que el soporte se conecte.
Otra cosa importante a señalar es que ¡Pass-The-Hash funciona en la cuenta de administrador local! Lo que significa que el hash de la cuenta de administrador de la computadora (SID 500) se puede utilizar para poseer todas las demás computadoras en el dominio.
Consejos de mitigación:
3. El usuario sin privilegios en realidad no es sin privilegios
Este además es un escenario común: el usuario propietario tiene privilegios, pero usted no lo sabe (aún). El atacante puede escanear la red y Active Directory con una herramienta llamada Sabueso para hallar rutas de ataque que son extremadamente difíciles de descubrir en casos normales.
BloodHound utiliza una base de datos de gráficos llamada Neo4j para descubrir relaciones ocultas entre usuarios y computadoras a través de el uso de Teoría de grafos. Y la mayor parte de la recopilación de datos que realiza la puede realizar un usuario normal. Inclusive puede descubrir administradores locales y sesiones activas en equipos remotos.
No es raro que un usuario sin privilegios tenga que Escribir o Cambiar la contraseña permisos en Active Directory en un usuario con más privilegios, de forma general por accidente o por pura pereza.
Consejo de mitigación: Escanee sus entornos regularmente con BloodHound para descubrir relaciones involuntarias.
4. Atacar al administrador
Los administradores están más expuestos que otros usuarios y no es raro que sean el objetivo de un ataque. El atacante de forma general no tiene problemas para hallar contraseñas y escalar una vez dentro de la cuenta sin privilegios de un administrador.
Consejos de mitigación:
- Esté atento a los intentos de spear-phishing.
- Poner en práctica un Modelo de niveles de Microsoft.
- Implemente el inicio de sesión de MFA o tarjeta inteligente para todas las cuentas de administrador.
5. Análisis de vulnerabilidades
Un atacante comenzará a buscar software vulnerable en su red si no puede escalar los privilegios a través de los métodos anteriores. Esto de forma general se hace con herramientas como Huelguista o Metasploit, y es una forma eficaz de escalar en entornos donde los sistemas de parcheo son de segunda mano o los sistemas no disponen soporte.
Consejos de mitigación:
- Tenga una rutina de parcheo para todos sus sistemas y no solo para el sistema operativo.
- Retirar o segmentar sistemas obsoletos.
Despues de las palabras
La seguridad puede ser difícil, pero se torna mucho más fácil si eres más consciente de ella y de cómo funciona. Además debe pensar en los ataques como una cadena de exploits y que todo en su red está conectado.
Con algunas técnicas de mitigación, puede volverse bastante resistente a los atacantes, pero nunca está garantizado. La mayoría de los atacantes están dirigiendo un negocio, y si les resulta demasiado difícil o les lleva mucho tiempo apuntarle, elegirán un objetivo más simple.
El objetivo debe ser hacer que el ROI (retorno de la inversión) de los atacantes sea lo más bajo factible, y debe ser lo más difícil factible para ellos elevarse a través de su red.
