Un problema serio con Active Directory (AD), establecido en las políticas de contraseñas es, que si bien es necesaria la complejidad de la contraseña, los atacantes (incluyendo pruebas de penetración) pueden encontrar fácilmente contraseñas de usuario débiles durante una visita, que los administradores de TI o de los oficiales de seguridad no tienen forma de descubrir de forma automática.
No hay visibilidad sobre que tan fuertes o débiles son las contraseñas de usuario en realidad.
Contraseñas simples y muy comunes, como "Verano2015", "Octubre2015", "password123", "[nombre de la empresa] + [año]", "[-password-en-el-empresa-compartida-conocida]", etc. ., todos cumplen los requisitos regulares de longitud de la contraseña y la complejidad, pero en la práctica son contraseñas extremadamente débiles y probablemente una de las primeras que un atacante probaría.
Fuerza bruta y ataques al NTDS.DIT
Un llamado ataque "fuerza bruta" se puede realizar de dos maneras diferentes. El método más conocido es el ataque a una cuenta de usuario dada, donde el atacante intenta diferentes combinaciones de contraseñas. En la mayoría de los entornos esto conduce a que la cuenta de usuario sea bloqueada después de un par de intentos y termina el ataque.
Una mejor versión del ataque "fuerza bruta" es probar una contraseña débil y ampliamente utilizada, por ejemplo, "Verano2015" contra todas las cuentas de usuario en el ambiente (también llamada "fumigación de contraseña" o "password spraying"). Este método lo más a menudo conduce a un inicio de sesión exitoso sin que ninguna cuenta sea bloqueada - especialmente en entornos en los que los usuarios no están debidamente capacitados en la generación de contraseñas seguras.
Obteniendo con anterioridad políticas en el uso de la contraseña y fuerza en un entorno de AD, que se ha hecho mediante la extracción de datos del archivo NTDS.DIT de un controlador de dominio, que es un proceso bastante tedioso y manual.
Con un nuevo módulo de PowerShell, DSInternals, ahora es posible analizar las contraseñas "en la marcha", en un entorno real, suponiendo que haya (adquirida) los permisos adecuados (equivalente a "domain admin" o "domain controller"). Si alguna vez has usado la herramienta DCSync, de reciente inclusión en Mimikatz, este módulo PS ofrece la misma funcionalidad.
getbADPasswords
El investigador de seguridad Jakob H. Heidelberg, ha automatizado este ataque por medio de un script en Powershell que utiliza parte de la funcionalidad en el nuevo módulo PS. La intención es permitir a los administradores y oficiales de seguridad descubrir contraseñas débiles (o malas) activas en el controlador de dominio - antes de que los atacantes lo hagan.
Más información y el código en si, puedes encontrarlo en Github.
 |
| Anatomia del ataque |
No hay visibilidad sobre que tan fuertes o débiles son las contraseñas de usuario en realidad.
Contraseñas simples y muy comunes, como "Verano2015", "Octubre2015", "password123", "[nombre de la empresa] + [año]", "[-password-en-el-empresa-compartida-conocida]", etc. ., todos cumplen los requisitos regulares de longitud de la contraseña y la complejidad, pero en la práctica son contraseñas extremadamente débiles y probablemente una de las primeras que un atacante probaría.
Fuerza bruta y ataques al NTDS.DIT
Un llamado ataque "fuerza bruta" se puede realizar de dos maneras diferentes. El método más conocido es el ataque a una cuenta de usuario dada, donde el atacante intenta diferentes combinaciones de contraseñas. En la mayoría de los entornos esto conduce a que la cuenta de usuario sea bloqueada después de un par de intentos y termina el ataque.
Una mejor versión del ataque "fuerza bruta" es probar una contraseña débil y ampliamente utilizada, por ejemplo, "Verano2015" contra todas las cuentas de usuario en el ambiente (también llamada "fumigación de contraseña" o "password spraying"). Este método lo más a menudo conduce a un inicio de sesión exitoso sin que ninguna cuenta sea bloqueada - especialmente en entornos en los que los usuarios no están debidamente capacitados en la generación de contraseñas seguras.
Obteniendo con anterioridad políticas en el uso de la contraseña y fuerza en un entorno de AD, que se ha hecho mediante la extracción de datos del archivo NTDS.DIT de un controlador de dominio, que es un proceso bastante tedioso y manual.
Con un nuevo módulo de PowerShell, DSInternals, ahora es posible analizar las contraseñas "en la marcha", en un entorno real, suponiendo que haya (adquirida) los permisos adecuados (equivalente a "domain admin" o "domain controller"). Si alguna vez has usado la herramienta DCSync, de reciente inclusión en Mimikatz, este módulo PS ofrece la misma funcionalidad.
getbADPasswords
El investigador de seguridad Jakob H. Heidelberg, ha automatizado este ataque por medio de un script en Powershell que utiliza parte de la funcionalidad en el nuevo módulo PS. La intención es permitir a los administradores y oficiales de seguridad descubrir contraseñas débiles (o malas) activas en el controlador de dominio - antes de que los atacantes lo hagan.
Más información y el código en si, puedes encontrarlo en Github.
