Saltar a contenido

Active Directory Research Over the Years

Active Directory ha sido un área de enfoque importante para los investigadores de seguridad durante la última década aproximadamente. A partir de 2014, comenzamos a ver cómo surgieron muchas de las herramientas y gran parte de la investigación, lo que llevó al descubrimiento de ataques comunes y técnicas que aún se utilizan hoy en día. A continuación se presenta una línea de tiempo que destaca el descubrimiento de algunos de los ataques y fallos más impactantes por parte de investigadores increíbles, así como la liberación de algunas de las herramientas más utilizadas por los penetration testers hasta el día de hoy. Si bien se han descubierto muchas técnicas a lo largo de los años, AD (y ahora Azure AD) presenta una amplia superficie de ataque, y se siguen descubriendo nuevos ataques. Surgen nuevas herramientas que tanto los penetration testers como los defensores deben comprender a fondo para ayudar a las organizaciones con la difícil pero crítica tarea de asegurar entornos AD.

Como podemos ver en la línea de tiempo a continuación, se siguen descubriendo fallos críticos. El ataque noPac fue descubierto en diciembre de 2021 y es el ataque crítico más reciente de AD que se ha descubierto al momento de escribir esto (enero de 2022). A medida que avanzamos en 2022, seguramente veremos nuevas herramientas y ataques que se lanzarán, y nuevos métodos para explotar y encadenar vulnerabilidades conocidas. Debemos mantenernos al tanto de las últimas y mejores investigaciones sobre Active Directory para ayudar mejor a los clientes a asegurar sus entornos o para asegurarlos nosotros mismos.

Esto de ninguna manera es una lista completa de toda la excelente investigación y herramientas que se han lanzado a lo largo de los años, pero es una instantánea de muchas de las más relevantes vistas en la última década. El arduo trabajo de los investigadores mencionados en esta línea de tiempo (y muchos otros) ha llevado a descubrimientos notables y a la creación de herramientas que pueden ayudar tanto a los penetration testers como a los defensores a profundizar en los entornos de Active Directory. Con ellas, es más fácil encontrar fallos de alto riesgo tanto obvios como oscuros antes de que lo hagan los atacantes.

AD Attacks & Tools Timeline

2021

La vulnerabilidad PrintNightmare fue revelada. Esta era una vulnerabilidad de ejecución remota de código en el Windows Print Spooler que podía ser utilizada para tomar el control de hosts en un entorno AD. El ataque Shadow Credentials fue liberado, lo cual permite que usuarios con pocos privilegios puedan hacerse pasar por otras cuentas de usuario y de computadora si las condiciones son adecuadas, y puede ser utilizado para escalar privilegios en un dominio. El ataque noPac fue descubierto a mediados de diciembre de 2021, cuando gran parte del mundo de la seguridad estaba enfocado en las vulnerabilidades de Log4j. Este ataque permite a un atacante obtener control total sobre un dominio desde una cuenta de usuario estándar de dominio si existen las condiciones adecuadas.

2020

El ataque ZeroLogon debutó a finales de 2020. Este fue un fallo crítico que permitía a un atacante hacerse pasar por cualquier controlador de dominio no parcheado en una red.

2019

harmj0y dio la charla "Kerberoasting Revisited" en DerbyCon, que estableció nuevos enfoques para el Kerberoasting. Elad Shamir publicó un post en el blog que describe técnicas para abusar de la delegación restringida basada en recursos (RBCD) en Active Directory. La empresa BC Security lanzó Empire 3.0 (ahora en la versión 4), que fue una nueva versión del framework PowerShell Empire escrito en Python3 con muchas adiciones y cambios.

2018

El "Printer Bug" fue descubierto por Lee Christensen y la herramienta PoC SpoolSample fue liberada, la cual aprovecha este bug para forzar a hosts de Windows a autenticarse en otras máquinas a través de la interfaz MS-RPRN RPC. harmj0y lanzó el Rubeus toolkit para atacar Kerberos. A finales de 2018, harmj0y también publicó el blog "Not A Security Boundary: Breaking Forest Trusts", que presentó una investigación clave sobre la realización de ataques a través de confianzas entre bosques. La técnica de ataque DCShadow también fue presentada por Vincent LE TOUX y Benjamin Delpy en la conferencia Bluehat IL 2018. La herramienta Ping Castle fue liberada por Vincent LE TOUX para realizar auditorías de seguridad de Active Directory buscando errores de configuración y otros fallos que pueden aumentar el nivel de riesgo de un dominio, y generar un informe que puede ser utilizado para identificar formas de fortalecer aún más el entorno.

2017

La técnica ASREPRoast fue introducida para atacar cuentas de usuario que no requieren preautenticación Kerberos. _wald0 y harmj0y dieron la charla crucial sobre ataques de Active Directory ACL "ACE Up the Sleeve" en Black Hat y DEF CON. harmj0y lanzó su blog post ["A Guide to Attacking Domain Trusts"] sobre cómo enumerar y atacar confianzas de dominio.

2016

BloodHound fue lanzado como una herramienta revolucionaria para visualizar rutas de ataque en AD en DEF CON 24.

2015

2015 vio la liberación de algunas de las herramientas más impactantes de Active Directory de todos los tiempos. El PowerShell Empire framework fue lanzado. PowerView 2.0 fue liberado como parte del (ahora en desuso) repositorio PowerTools, que era parte de la cuenta de GitHub de PowerShellEmpire. El ataque DCSync fue liberado por primera vez por Benjamin Delpy y Vincent Le Toux como parte de la herramienta mimikatz. Desde entonces, ha sido incluido en otras herramientas. La primera versión estable de CrackMapExec (v1.0.0) fue introducida. Sean Metcalf dio una charla en Black Hat USA sobre los peligros de la Kerberos Unconstrained Delegation y publicó un excelente blog post sobre el tema. La herramienta Impacket también fue lanzada en 2015. Esta es una colección de herramientas en Python, muchas de las cuales pueden ser utilizadas para realizar ataques en Active Directory. Todavía se mantiene activamente a partir de enero de 2022 y es una parte clave del toolkit de casi todos los penetration testers.

2014

Veil-PowerView fue liberado por primera vez en 2014. Este proyecto más tarde se convirtió en parte del framework PowerSploit como la herramienta de reconocimiento de AD (ya no soportada) PowerView.ps1. El ataque Kerberoasting fue presentado por primera vez en una conferencia por Tim Medin en SANS Hackfest 2014.

2013

La herramienta Responder fue liberada por Laurent Gaffie. Responder es una herramienta utilizada para envenenar LLMNR, NBT-NS y MDNS en una red de Active Directory. Puede ser utilizada para obtener hashes de contraseñas y también para realizar ataques de SMB Relay (cuando se combina con otras herramientas) para moverse lateral y verticalmente en un entorno AD. Ha evolucionado considerablemente a lo largo de los años y todavía se mantiene activamente (con nuevas características añadidas) a partir de enero de 2022.