Detectar la Escalada de Privilegios en Entornos de Dominio de Windows

[post-views]
abril 27, 2022 · 3 min de lectura
Detectar la Escalada de Privilegios en Entornos de Dominio de Windows

Los investigadores de ciberseguridad han revelado un agujero de seguridad en el Active Directory (AD) de Microsoft Windows que permite a los usuarios activos agregar máquinas al dominio incluso sin privilegios de administrador, lo cual expone a la máquina al riesgo de ataques de escalada de privilegios. Según los ajustes predeterminados, un usuario de AD puede agregar hasta diez estaciones de trabajo al dominio.

Usando la herramienta KrbRelayUp, una escalada de privilegios local universal sin soluciĂłn en entornos de dominio de Windows donde la firma LDAP no se aplica segĂşn los ajustes predeterminados, un adversario solo necesita ejecutar cĂłdigo en un host unido al dominio para realizar un ataque. Los investigadores de seguridad esperan que esta falla sea ampliamente aprovechada por los operadores de ransomware para proceder con infecciones ya que la rutina de explotaciĂłn es bastante primitiva.

DetecciĂłn de Ataques de Escalada de Privilegios Basados en el Comportamiento de KrbRelayUp

Para detectar posibles ataques de escalada de privilegios en entornos AD, los profesionales de seguridad pueden descargar una regla basada en Sigma disponible en la plataforma de SOC Prime. Tenga en cuenta que para acceder al contenido de detecciĂłn, asegĂşrese de registrarse o iniciar sesiĂłn en la plataforma:

Posible Escalada de Privilegios Local a través de la Herramienta KrbRelayUp (a través de auditoría)

Esta regla Sigma tiene traducciones a 18 soluciones de SIEM & XDR, incluyendo Microsoft Sentinel, Humio, Elastic Stack, Chronicle Security, LimaCharlie, ArcSight, QRadar, Splunk, Devo, Graylog, Sumo Logic, LogPoint, Regex Grep, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix, y AWS OpenSearch.

La detección antes mencionada está alineada con el marco MITRE ATT&CK® v.10 abordando las tácticas de Evasión de Defensa y Acceso a Credenciales con las técnicas correspondientes

Abusar del Mecanismo de Control de ElevaciĂłn (T1548) y Robar o Forjar Tickets Kerberos (T1558).

Posible Ataque de Toma de Control de Computadora (a través de auditoría)

Esta regla Sigma tiene traducciones a 18 soluciones de SIEM & XDR, incluyendo Microsoft Sentinel, Humio, Elastic Stack, Chronicle Security, LimaCharlie, ArcSight, QRadar, Splunk, Devo, Graylog, Sumo Logic, LogPoint, Regex Grep, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix, y Microsoft PowerShell.

La detección antes mencionada está alineada con el marco MITRE ATT&CK® v.10 abordando las tácticas de Evasión de Defensa y Movimiento Lateral con las técnicas correspondientes Uso de Material de Autenticación Alternativo (T1550) y Servicios Remotos (T1021).

Los gurús de ciberseguridad deseosos de contribuir con su expertise colaborativa se unen a las fuerzas del Programa de Amenaza Bounty de SOC Prime para ayudar a la comunidad mundial a fortalecer su potencial de defensa cibernética. Aplica para unirte a la iniciativa de crowdsourcing Threat Bounty para contribuir con tu contenido de detección a la plataforma de Detección como Código de SOC Prime y poder monetizar tu aporte mientras contribuyes a un futuro cibernético más seguro.

Ver Detecciones Unirse a Threat Bounty

MitigaciĂłn

La creciente atención a este problema de seguridad potencialmente peligroso recuerda nuevamente los riesgos de la capacidad de todos los Usuarios Autenticados para unir sus dispositivos a un dominio. Los peligros podrían mitigarse cambiando la configuración predeterminada y eliminando a los Usuarios Autenticados de la política predeterminada de Controladores de Dominio. Alternativamente, podría introducirse una nueva política segura para definir la configuración de “Agregar estación de trabajo al dominio”. Se pueden encontrar más detalles sobre la mitigación de la vulnerabilidad KrbRelayUp en la investigación más reciente de Mor Davidovich en su más reciente entrada en GitHub.

Una estrategia de ciberseguridad proactiva es una solución viable que las organizaciones progresistas están esforzándose por implementar para fortalecer sus capacidades de defensa cibernética. Explore la plataforma de Detección como Código de SOC Prime para obtener acceso a contenido de detección de amenazas curado y enriquecido en contexto para asegurar que su organización esté un paso adelante de los atacantes.

Tabla de Contenidos

ÂżFue Ăştil este artĂ­culo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Ăšnase Gratis Reserve una ReuniĂłn

Publicaciones relacionadas

La GeneraciĂłn de DetecciĂłn bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI 2 min de lectura Plataforma SOC Prime La GeneraciĂłn de DetecciĂłn bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI by Steven Edwards DetecciĂłn de Actividad del Grupo XE: Desde Skimming de Tarjetas de CrĂ©dito hasta la ExplotaciĂłn de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Ăšltimas Amenazas DetecciĂłn de Actividad del Grupo XE: Desde Skimming de Tarjetas de CrĂ©dito hasta la ExplotaciĂłn de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko DetecciĂłn de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Ăšltimas Amenazas DetecciĂłn de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko
Todas las noticias