¿Qué sigue después de que una cuenta de dominio de Windows se ha visto comprometida?

14

Nos estamos preparando para un escenario en el que una de las cuentas de un dominio se ve comprometida: ¿qué hacer a continuación?

Deshabilitar la cuenta sería mi primera respuesta, pero tuvimos pentesters aquí hace unas semanas y pudieron usar inicios de sesión hash de un usuario administrador que se fue hace un par de meses.

Nuestras dos respuestas hasta ahora son:

  1. Elimine la cuenta y vuelva a crearla (crea un nuevo SID pero también más drama para el usuario y trabaja para nosotros)
  2. Cambie la contraseña al menos 3 veces y desactive la cuenta

¿Cuál sería su método o qué recomendaría?

active-directory security JurajB
fuente
1
Si se trata de una cuenta de administrador que se vio comprometida, cree más cuentas de administrador para su propio propósito. Si es una cuenta priv baja (usuario normal), realice escaneos de red y busque una cuenta de administrador para comprometerse. Ser propietario de un usuario habitual te ayuda a realizar más ataques "dirigidos".
blaughw
44
¿Estás diciendo que la cuenta del usuario administrador que se fue hace un par de meses no estaba desactivada a la salida de esa persona? Supongo que no veo cómo ese ejemplo habla de la efectividad o ineficacia de deshabilitar cuentas. ¿Cuál es la razón para cambiar la contraseña 3 veces en lugar de una vez?
Todd Wilcox
@ToddWilcox, la cuenta se deshabilitó justo cuando la persona se fue y los grupos se eliminaron (esa es una práctica estándar cuando la gente se va), pero afirmaron que pudieron obtener acceso al usarla.
JurajB
Por lo tanto, no se eliminó correctamente: desea que los tokens caduquen y el acceso para esa cuenta se elimine en todos los sistemas
Rory Alsop

Respuestas:

8

Si solo se compromete una cuenta de usuario estándar, cambiar la contraseña una vez y dejar la cuenta habilitada debería estar bien. Un hash no funcionará una vez que la contraseña haya cambiado. Tampoco funcionará si la cuenta está deshabilitada. Como probador de la pluma, me pregunto si los probadores de la pluma estaban usando boletos Kerberos. En ciertas circunstancias, esto puede seguir funcionando si se cambia una contraseña, o si se deshabilita una cuenta O incluso se elimina (vea los enlaces para la mitigación).

Si una cuenta de administrador de dominio se ha visto comprometida, entonces, literalmente, se acabó el juego. Debe poner su dominio fuera de línea y cambiar CADA contraseña. Además, la contraseña de la cuenta krbtgt debería cambiarse dos veces; de lo contrario, los atacantes aún podrán emitir tickets Kerberos válidos con la información que han robado. Una vez que haya hecho todo eso, puede volver a poner su dominio en línea.

Implemente una política de bloqueo de cuenta para que no se puedan adivinar las contraseñas modificadas. No cambie el nombre de sus cuentas. Los atacantes pueden fácilmente encontrar los nombres de inicio de sesión.

Otro punto importante es capacitar a sus usuarios. Probablemente hicieron algo imprudente que significó que la cuenta se comprometió. Es posible que el atacante ni siquiera conozca la contraseña, solo puede estar ejecutando procesos como esa cuenta. Por ejemplo, si abre un archivo adjunto de malware que le da acceso a un atacante a su máquina, se ejecutará como su cuenta. No saben tu contraseña. No pueden obtener su hash de contraseña, a menos que sea un administrador. No permita que los usuarios se ejecuten como administradores locales en sus estaciones de trabajo. ¡No permita que los administradores de dominio inicien sesión en estaciones de trabajo con derechos de administrador de dominio, nunca!

Enlaces para más información / mitigaciones:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

bao7uo
fuente
¿Qué pasa si trabajas en un ambiente relativamente permisivo, como la academia? Es posible que esté tratando con usuarios que tienen la tenencia y no están dispuestos a ser "entrenados", y debido a que tienen una tenencia, no puede deshacerse de ellos o reducir sus privilegios.
Katherine Villyard
3
Siempre recomiendo las mejores prácticas. Siempre habrá algunos tipos de organizaciones que no pueden implementarlo al 100%. Algunas personas se ven a sí mismas por encima de la ley, y algunas organizaciones ven la tenencia / ego como algo más importante que la aplicación justa y uniforme de políticas / seguridad. Esas personas y organizaciones deberán asumir la responsabilidad de las consecuencias de sus acciones. Esperemos esas organizaciones académicas no están buscando después de una investigación importante que sería de valor para los intereses extranjeros .....
bao7uo
1
He realizado algunos cursos de MVA sobre el boleto dorado y la mitigación de pth, pero entiendo que recuerda 2 contraseñas, por lo tanto, debe cambiarlo al menos dos veces, no solo una. Incluso el script para krbtgt lo hace dos veces.
JurajB
1
no puede editar lo anterior, por lo que agrega: incluso el script para krbtgt lo hace dos veces. ¿No sería entonces la mejor opción (para la cuenta de usuario) cambiar la contraseña dos veces y luego deshabilitar la cuenta?
JurajB
2
You need to bring your domain offline. Eso puede funcionar para una oficina pequeña, pero es poco probable que una empresa grande pueda desconectar su dominio / bosque.
Greg Askew
12

pudieron usar inicios de sesión hash de un usuario administrador que se fue hace un par de meses.

Los hashes de credenciales robados no funcionan para las cuentas que están deshabilitadas, a menos que esté en una computadora que no esté conectada a la red. El proceso aún necesita solicitar un ticket o autenticarse con un controlador de dominio. No puedo hacer eso si la cuenta está deshabilitada.

Debe deshabilitar las cuentas administrativas de los ex empleados cuando se van.

Greg Askew
fuente
¿Cómo ayudan los hashes de credenciales robados al atacante? Si no tienen la contraseña real, no hay forma de recuperar la contraseña del hash (excepto para obtener contraseñas pequeñas usando tablas de arco iris), ¿correcto? No estoy seguro de lo que me estoy perdiendo aquí.
Chirag Bhatia - chirag64
1
@ ChiragBhatia-chirag64 Está suponiendo que los esquemas de autenticación son resistentes a la reproducción. Puede que no lo sean, en cuyo caso los hashes son todo lo que necesita para autenticarse.
Jonas Schäfer
¿Puede dar un ejemplo donde el esquema de autenticación de Windows usa el hash real en lugar de la contraseña de texto? Lo siento si esto suena como una pregunta estúpida, nunca he visto este tipo de implementación antes (o tal vez entienden mal mecanismo de autenticación de Windows)
Chirag Bhatia - chirag64
3
@ ChiragBhatia-chirag64 en.m.wikipedia.org/wiki/Pass_the_hash
Greg Askew
@GregAskew gracias, no tenía idea de que esto era algo en la autenticación de Windows. Es sorprendente que no usen algo como SSL para enviar la contraseña. Esto me parece un gran problema de seguridad.
Chirag Bhatia - chirag64
3

Suponiendo una cuenta de usuario estándar, es posible que desee considerar:

  1. Cambia la contraseña.
  2. Deshabilitar la cuenta.
  3. Cambie el nombre de la cuenta (nombre de usuario sospechoso) y cree una nueva cuenta para el usuario afectado.
  4. Agregue la cuenta sospechosa a un grupo de seguridad "Usuarios discapacitados / comprometidos".

Para el n. ° 4, ya tiene una política de grupo que hace lo siguiente:

  • Denegar el acceso a esta computadora desde la red: "Usuarios discapacitados / comprometidos"
  • Denegar el inicio de sesión a través de Servicios de escritorio remoto: "Usuarios discapacitados / comprometidos"
  • Denegar el inicio de sesión local: "Usuarios discapacitados / comprometidos"

Para una cuenta de administrador de dominio, toda su red es tostada.

Katherine Villyard
fuente
¿Por qué sugiere cambiar la contraseña más de una vez?
bao7uo
si una cuenta de administrador de dominio se vio comprometida, eso significa que cada cuenta de usuario está comprometida. ¿les gustaría cambiar el nombre de cada cuenta de usuario?
bao7uo
1
@PHPaul: Dependiendo de la incursión, si una cuenta todavía está en uso, el cambio de nombre puede ser una táctica válida. Y, por supuesto, no recomiendan cambiar el nombre de cada cuenta.
Greg Askew