Encuentros de amenazas empresariales: Escenarios y recomendaciones – Parte 1

Por el Personal de seguridad de Microsoft

 

Muchos de los Profesionales de TI que entran en contacto con nuestro grupo de servicio y soporte al cliente tienen preguntas comunes relacionadas con incidentes a la seguridad y están buscando guías sobre cómo aminorar las amenazas de ciertos adversarios.  Dado el nivel de interés en esta información y escenarios comunes que existen entre diferentes organizaciones, publicaremos varias entregas con el detalle de incidentes de seguridad comunes que enfrentan las organizaciones y proporcionaremos soluciones recomendadas por nuestro equipo de Soporte a la seguridad. 

Es importante señalar que cada fase tiene uno o más controles técnicos y, más importante, administrativos que podrían haberse usado para bloquear o disminuir el ataque.  Estas mitigaciones se señalan después de cada fase.  Cada mitigación trata comportamientos y vectores de ataque específicos vistos previamente en diversos incidentes de seguridad.

Fase uno: El punto de entrada
Inicialmente, el atacante podrá comprometer de manera exitosa una o más máquinas.  Esto puede suceder mediante phishing, ataques dirigidos a la Web, servicios expuestos y otros medios.

El método más común observado por nuestro equipo de Soporte a la seguridad para comprometer de manera exitosa un sistema es mediante vulnerabilidades en el software.  En la gran mayoría de los casos, éstas son vulnerabilidades en el software para las cuales existen actualizaciones, pero no se han aplicado.  Al solucionar los problemas de los clientes, hemos encontrado que típicamente estos ataques se dirigen a plug-ins, lectores de documentos en formatos comunes y marcos comunes de aplicaciones Web.

MITIGACIÓN: Es crítico para los Profesionales de TI aplicar de manera oportuna las actualizaciones de seguridad en todo el software instalado en su organización.  Esto incluye tanto los productos de Microsoft como el software de terceros.  La infraestructura de Microsoft como System Center Configuration Manager (SCCM) y Windows Server Update Services (WSUS) pueden aplicar actualizaciones a los productos de Microsoft, pero no cubren a productos de terceros, a menos de que ese tercero haya liberado un manifiesto para su producto.  Éste debe ser el caso sin importar si el software se implementó centralmente o lo instalaron los usuarios finales.  También incluye cualquier marco de aplicaciones utilizado en la Web.

Vulnerabilidades en el software es uno de los puntos de entrada más comunes que utilizan los atacantes para causar daño malicioso.  Esto se vuelve aún más crítico al ejecutar un sistema en modo de administrador local, ya que los atacantes pueden usar productos que podrían instalar nuevas vulnerabilidades.  La aplicación de actualizaciones de manera oportuna se debe realizar en todos los productos instalados.

Fase dos: Obtener el control del administrador
Después del compromiso inicial, el atacante querrá obtener privilegios del Sistema local. 

En nuestra experiencia, con frecuencia es fácil obtener los privilegios del Sistema local porque el sistema comprometido fue instalado como administrador.  Típicamente, el atacante se enfocará en los usuarios con cuentas privilegiadas, de tal manera que puedan obtener el control.

MITIGACIÓN: Minimice el número de sistemas que se ejecutan como un administrador local, tanto para estaciones de trabajo como para servidores.  Utilice cuentas privilegiadas sólo cuando sea necesario.

Fase tres: Establecimiento de raíces

Una vez que el atacante puede ejecutarse como Sistema local, instala malware para proporcionar una persistencia en el host, capturar las credenciales del usuario y controlar de manera remota la máquina.

MITIGACIÓN: Supervise de manera regular su solución antivirus/antimalware.  Con frecuencia, el antimalware detectó las herramientas utilizadas en un ataque, pero no se limpiaron ni se trataron.  En esos escenarios, el atacante puede instalar otro software malicioso.  Además, el malware puede desactivar el software de seguridad o hacer cambios a la configuración, como agregar excepciones.

MITIGACIÓN: Utilice un enfoque de listado de aplicaciones como AppLocker para ayudar a evitar la introducción de software no deseado.

Fase cuatro: Robo de credenciales
Ahora que un tercero puede ejecutar el malware de manera consistente, el objetivo principal son las credenciales.  Por lo general, las credenciales se roban de cuentas locales, cuentas de servicio y usuarios que inician sesión en un host no infectado.  Aquí, el propósito es encontrar credenciales privilegiadas, incluyendo cuentas de administrador de dominio, para usarlas.

MITIGACIÓN: Utilice contraseñas únicas para la cuenta del Administrador local en cada host en su empresa.  Cuando un atacante descubre que la cuenta del administrador local tiene la misma contraseña en todos los hosts, o hasta en un grupo, la usarán para moverse de manera lateral entre cualquier host que comparta la misma contraseña.  Aún mejor es desactivar esta cuenta totalmente en su empresa y supervisar los intentos de uso a la misma.  Refiérase a Cómo reducir ataques tipo Pasar el Hash (PtH) y otras técnicas de robo de credenciales para obtener detalles sobre éstas y otras mitigaciones relacionadas con credenciales.

MITIGACIÓN: Evite que las cuentas del Administrador de dominio inicien sesión en máquinas que puedan estar comprometidas por un usuario con menos privilegios.  Las cuentas administrativas de dominio nunca deben iniciar sesión de estaciones de trabajo o servidores miembros en el dominio.  Deben utilizar cuentas de usuario limitadas y utilizar un gateway de Terminal Server para RDP en los servidores con sus cuentas de administrador de dominio, según se requiera.  El enfoque más simple a esto es utilizar una política de grupo para remover los derechos de Inicio de sesión local de los administradores de dominio de todas las máquinas, a excepción de los controladores de dominio.

MITIGACIÓN: Muchos servidores se ejecutan como Sistema local.  Ésta es una cuenta con privilegios altos.  Cuando sea posible, utilice las cuentas de Servicio local y Servicio de red para ejecutar los servicios en lugar de las cuentas del administrador de dominio cuando las contraseñas se retengan en texto sin cifrar en el espacio de la memoria del proceso LSA mientras se ejecuta el sistema.

Más información sobre las cuentas de servicio:

Los servicios son aplicaciones que se ejecutan cuando se inicia el sistema. Como cualquier otro proceso en el sistema, los servicios deben ejecutarse bajo el mismo tipo de identidad del usuario. Cuando se inicia el servicio, el sistema operativo autenticará la cuenta utilizada para el servicio. Para hacer esto, necesita un nombre del usuario y una contraseña, que se almacena en los Secretos de la Autoridad de seguridad local (LSA). Los Secretos de LSA los mantiene la LSA para retener cierta información sensible, como las credenciales de cuentas de PCs, claves de codificación y credenciales de cuentas de servicio.

Los Secretos de LSA se codifican en disco y los decodifica el SO cuando se inicia la máquina. Entonces, se mantienen en un texto sin cifrar en el espacio de la memoria del proceso LSA mientras se ejecuta el sistema. Para obtener esta información, el tercero debe encajar un depurador o debugger al proceso LSA. A lo mejor esto es un poco desalentador, pero existen utilidades diseñadas específicamente para extraer los secretos de LSA. Observe que al ejecutarse LSA como un Sistema local, no cualquiera puede agregar un debugger a un proceso en ejecución; sin embargo, cualquier usuario que tenga SeDebugPrivilege (el cual es requerido para depurar y ajustar la memoria de un proceso propiedad de otra cuenta ) lo puede hacer. De manera predeterminada, esto significa que sólo lo pueden hacer los Administradores; sin embargo, también se puede otorgar este privilegio a otros usuarios.

Fase cinco: Robo de datos
En este escenario, el atacante ahora tiene acceso completo a cuentas privilegiadas y puede actuar como el propietario de esas cuentas – administradores de dominio, administradores de servidor, VIPs – en la red para provocar un daño malicioso.  Con este acceso, podrán obtener propiedad intelectual clave y otros datos.  También pueden conectarse a controladores de dominio y conjuntar credenciales de todos los usuarios en el dominio. 

MITIGACIÓN: Ninguna.  Es vital que el atacante haya sido contenido y controlado por las mitigaciones enumeradas previamente.  Es importante hacer una investigación de los controles en esta fase para detectar cualquier actividad maliciosa. 

Análisis: Antes de que ocurra un incidente, los clientes deben identificar sus datos críticos y asegurarlos utilizando controles como codificación, en disco y en tránsito, así como definir previamente qué grupo de negocios debe tener acceso a qué datos.  Debido a que los administradores de dominio pueden cambiar las listas de control de acceso (ACLs) en los archivos y carpetas, piensa que esto es una mitigación, pero no lo es. Sin embargo, se puede usar un sistema como Rights Management Services de Microsoft para controlar el acceso a los datos.  Los datos críticos de negocio deben localizarse en un almacenamiento seguro y respaldarse en un sistema seguro, así como fuera del sitio, para recuperarlos de emisiones dentro de un sitio, además de que deberán realizarse de manera frecuente pruebas de restauraciones. 

Por supuesto, éstos son sólo algunos ejemplos de los escenarios y mejores prácticas de seguridad que recomendamos a los usuarios con base en lo que vemos en las trincheras en este momento.  En términos del ciclo de vida del ataque, los atacantes suplantan a los administradores para obtener información al inicio de sesión, después utilizan ataques tipo “pasar el hash” para elevar sus privilegios al de los administradores de dominio.  Con estas credenciales pueden vaciar el archivo NTDS.dit y, al hacerlo, tienen los hashes de cada cuenta en AD.  Entonces, se dirigen a la información que están buscando y extraen esos datos utilizando diversos mecanismos. 

Espere la siguiente entrega de esta serie, que cubrirá algunas de las cosas que usted puede hacer para estar preparado en un incidente de seguridad.  Para obtener más información sobre Pasar el Hash y otros enfoques para el robo de credenciales, refiérase a las Técnicas de Cómo reducir los ataques tipo Pasar el Hash (PtH) y otros robos de credenciales.  Para obtener información sobre un alcance más general de amenazas, refiérase al Reporte sobre inteligencia de seguridad de Microsoft.

Neil Carpenter
Ingeniero en Jefe de Escalación de Seguridad
Equipo de Seguridad CSS