Las cuentas Shadow Admin son cuentas en la red que tienen privilegios confidenciales y generalmente se pasan por alto porque no son miembros de un grupo privilegiado de Active Directory (AD).
Desde la perspectiva del atacante, estas cuentas son muy deseadas, ya que proporcionan los privilegios administrativos necesarios para avanzar en un ataque, y tienen un perfil más bajo en comparación con las cuentas de administrador en virtud de los grupos conocidos (administradores de dominio).
Para mantener una sólida postura de seguridad, CyberArk Labs recomienda encarecidamente que las organizaciones conozcan todas las cuentas privilegiadas de la red, incluidos los administradores de Shadow. Por ese motivo, desarrollaron una herramienta especial que escanea y descubre cuentas privilegiadas según los permisos de la cuenta . La herramienta, ACLight, está disponible de forma gratuita en GitHub y se puede utilizar para descubrir estas cuentas Shadow. Puedes encontrar ACLight aquí .
Una vez que descubras estas cuentas de Shadow Admin, te recomendamos que tomes medidas para protegerlas por completo.
Sabemos que existen 4 tipos de cuentas privilegiadas:
- Cuentas con privilegios de dominio, como usuarios de administrador de dominio, usuarios de administración de DHCP.
- Cuentas con privilegios locales, como cuentas de administrador local en puntos finales y servidores, y «raíz» en cuadros * nix.
- Cuentas privilegiadas de aplicaciones / servicios, como administradores de bases de datos o administradores de SharePoint.
- Cuentas con privilegios comerciales, como los usuarios de Finanzas o la cuenta corporativa de Twitter.
En esta publicación de blog, nos centramos en la primera categoría: cuentas con privilegios de dominio. Priorizamos esta categoría porque estas cuentas son las cuentas más poderosas en una red. Si estas cuentas se ven comprometidas, un atacante puede comprometer fácilmente todas las demás cuentas en el dominio.
Identificación de cuentas con privilegios de dominio
La forma básica e ingenua de identificar cuentas con privilegios es revisar los grupos privilegiados incorporados en Active Directory.
Además, ¿qué sucede si tu organización maneja mal los permisos de Active Directory y no tiene el tiempo (o no se tomó el tiempo) para encargarse de los detalles y actualizar las listas de control de acceso (ACL) necesarias? Puede haber asignaciones de ACL heredadas que hayan sido olvidadas. O tal vez una cuenta específica necesitaba un permiso específico, pero el administrador que realizó el cambio no entendió completamente las implicaciones de asignar directamente el permiso privilegiado.
La siguiente imagen muestra la diferencia entre usar asignaciones grupales y asignaciones directas en una ACL.
Para conocer y realizar un seguimiento de todas nuestras cuentas privilegiadas en el dominio, debemos tener un mejor método para identificar las cuentas con privilegios. Consideremos un nuevo enfoque, uno que mira directamente a los permisos de ACL.
La ACL de cada objeto define quién tiene permisos sobre ese objeto específico y qué acciones se pueden realizar en él. Hay varios tipos de permisos, desde el permiso de «Control total» hasta permisos más específicos como «Escribir», «Eliminar», «Leer» e incluso algunos «Derechos extendidos» como «Contraseña de cambio de usuario-contraseña», que permite el restablecimiento de la contraseña de la cuenta dirigida.
Ten en cuenta que el grupo de administradores de dominio tiene acceso total a todos los objetos en el directorio de forma predeterminada, pero una cuenta no necesita ser miembro del grupo administradores de dominio para tener esos mismos permisos. A una cuenta individual se le pueden otorgar las mismas ACE que un administrador de dominio, pero permanecer fuera del grupo de Active Directory. Dicha cuenta individual se clasificaría como una cuenta » Shadow Admin «.
Una vez que un atacante entra a la red, lo más probable es que se dirija a los privilegios de administrador del dominio para acceder a las cuentas y activos deseados. Sin embargo, la creación de una nueva cuenta en el grupo administradores del dominio probablemente activará las alarmas, ya que la cuenta se puede detectar fácilmente. Para mantenerse bajo el radar, lo más conveniente para el atacante es poner en peligro una cuenta existente y agregar permisos de administrador de dominio directamente a la cuenta sin cambiar la membresía del grupo.
Descubriendo a los administradores de Shadows a través del análisis de ACL
Como se demostró anteriormente, el análisis grupal no es suficiente cuando se intenta descubrir todas las cuentas privilegiadas en el dominio. En cambio, buscar y analizar los permisos de ACL otorgados a cada cuenta es un método más completo.
El análisis de permisos de Active Directory identificará todas las cuentas que tienen permisos confidenciales. En un buen escenario, esas cuentas deben ser privilegiadas. Pero ¿qué ocurre si hay cuentas nuevas y desconocidas con privilegios administrativos? ¿O tal vez hay cuentas conocidas, sin privilegios que, por una razón poco clara, ahora tienen privilegios administrativos? Estas cuentas podrían representar un riesgo significativo, ya que pueden haber permanecido inadvertidas durante meses o años. Peor aún, la existencia de estas cuentas de Shadow Admin podría indicar que un ataque cibernético está actualmente en curso, ya que estas cuentas pueden haber sido creadas o explotadas por un atacante que luego las «mejoró» con permisos adicionales necesarios para ejecutar acciones maliciosas.
Veamos algunos ejemplos reales de Shadow Admins:
Ejemplo 1 : Cuenta con «Control total» sobre los objetos del grupo admins del dominio.
La cuenta «James» que se muestra en la figura es una Shadow Admin. Es posible que James no esté en un grupo privilegiado, pero su cuenta se considera privilegiada debido a su permiso para registrarse en el grupo administradores de dominio en cualquier momento.
Ejemplo 2 : Cuenta con el permiso «Restablecer contraseña» sobre otra cuenta de administrador de dominio conocida.
«Emily» es una Shadow admin debido a su permiso «Restablecer contraseña». A pesar de que este es su único permiso en nuestro dominio, es muy poderoso.
Ejemplo 3 : cuenta con permisos «Replicar el directorio cambia todos».
De los tres ejemplos explicados anteriormente, el ejemplo 3 es el más peligroso, ya que cualquier usuario con este permiso tiene la capacidad de replicar cualquier objeto en el directorio, incluidas las contraseñas. De forma predeterminada, los controladores de dominio y los administradores de dominio tienen este permiso para mantener el controlador de dominio maestro y todos los demás controladores de dominio sincronizados. Desde la perspectiva del atacante, cualquier cuenta con un permiso de replicación de cambios en el directorio se puede usar para recuperar las contraseñas de otras cuentas en el dominio y así avanzar en la posición del atacante en la red. Cualquier cuenta con estos permisos tiene los privilegios necesarios para realizar un ataque «DCSync» y robar la contraseña de cualquier otra cuenta. DCSync se puede hacer fácilmente usando MimiKatz y otras herramientas similares.
Recomendaciones
A continuación, te recomendamos que investigues las cuentas descubiertas y actúes según corresponda:
- 1. Primero, verifica que las cuentas recientemente privilegiadas no sean parte de un ataque en curso
- 2. Asegúrate de que las cuentas legítimas restantes realmente necesiten los permisos que se les asignaron
- 3. Sigue las mejores prácticas para proteger cuentas privilegiadas, que incluyen:
– División de cuentas de usuario personal de cuentas administrativas.
-Usar contraseñas complejas y largas, almacenarlas en un lugar seguro y rotarlas a menudo.
-Monitorear, registrar el uso de estas cuentas y revisión periódica de los permisos de usuario de la red.