Este es el último de una serie de posts que llamamos «Conocimiento QOMPLX». Estos posts pretenden proporcionar información básica y conocimientos sobre la actividad de ataque y las tendencias que están impulsando las campañas maliciosas y que los investigadores de QOMPLX encuentran en nuestro trabajo forense con los clientes.
Para entender las relaciones de confianza entre bosques en Active Directory, primero hay que entender la estructura lógica de Active Directory según lo prescrito por Microsoft. Active Directory sigue una jerarquía clara, de arriba a abajo. En esa jerarquía se encuentran: los bosques, los árboles y los dominios.
- Los bosques representan la instancia completa de Active Directory, y son contenedores lógicos formados por árboles de dominios, dominios y unidades organizativas.
- Los árboles son colecciones de dominios dentro del mismo espacio de nombres DNS; éstos incluyen dominios hijos.
- Los dominios son agrupaciones lógicas de objetos de red como ordenadores, usuarios, aplicaciones y dispositivos en la red como impresoras.
Los objetos de dominio que componen un bosque comparten muchos elementos estructurales críticos. Estos incluyen el esquema y las configuraciones y una relación de confianza transitiva bidireccional que se establece automáticamente una vez que los objetos se unen a un dominio en Active Directory. En estas relaciones transitivas, la confianza se extiende entre los objetos padres e hijos de un dominio y entre los dominios hijos y los objetos en los que confían esos dominios. Estas relaciones de confianza son automáticas y reflexivas.
La confianza entre bosques es una característica de Windows Server que permite gestionar la confianza entre la agrupación más alta -los bosques de Active Directory- dentro y fuera de su organización.
Puntos clave
- Los fideicomisos entre bosques son relaciones de confianza entre bosques, árboles y dominios de Active Directory
- Los fideicomisos son transitivos o no transitivos, y unidireccionales o bidireccionales
- Los fideicomisos predeterminados que se establecen automáticamente dentro de Active Directory son los fideicomisos Árbol-Raíz y Padre-Hijo
- Otros fideicomisos, como los externos, Las relaciones de confianza entre los dominios de los bosques de Active Directory deben establecerse antes de que los usuarios puedan acceder a los recursos de red dentro del perímetro de la empresa o a los recursos externos más allá del perímetro de la red. Esta confianza es un componente básico de la gestión de identidades y accesos. Esto es especialmente cierto a medida que las empresas crecen a través de fusiones y adquisiciones y a medida que las plantillas acceden cada vez más al trabajo desde casa u otras ubicaciones remotas. La confianza entre dominios también es importante a medida que las empresas dependen más de las relaciones de terceros con proveedores y socios para hacer crecer su negocio.
Los bosques actúan esencialmente como un límite de seguridad para la estructura que compone Active Directory, pero algunos expertos advierten que este enfoque puede tener sus inconvenientes.
«Un bosque de Active Directory puede estar diseñado con múltiples dominios para mitigar ciertos problemas de seguridad, pero en realidad no los mitigará debido a la forma en que funcionan las confianzas de dominio en el bosque», advirtió Sean Metcalf, que dirige el sitio web de seguridad de Active Directory. «Si un grupo tiene requisitos de seguridad para su propio dominio debido a razones de seguridad, es probable que realmente necesite su propio bosque», escribió.
Aunque hay muchas maneras diferentes de atacar Active Directory, los actores de amenazas también pueden optar por abusar de las relaciones de confianza de dominio. La recopilación de información sobre las relaciones de confianza durante las actividades de reconocimiento, una vez que un atacante tiene un punto de apoyo en la red, les permite identificar potencialmente las vías en las que sería posible el movimiento lateral. Dado que las relaciones de confianza de dominio autentican a los usuarios en los respectivos controladores de dominio y la confianza respectiva permite a los usuarios el acceso a los recursos, los atacantes también pueden seguir estas mismas rutas.
Los atacantes podrían seguir una estrategia común que implicaría primero enumerar las confianzas entre bosques, árboles y dominios que construyen un mapa del alcance potencial que podría tener un adversario. Se pueden utilizar varios métodos nativos de Windows y llamadas a la API para enumerar las confianzas, algunos de los cuales incluyen NLtest y dsquery, o herramientas de terceros de código abierto como Empire, PowerSploit o PoshC2.
El mismo enfoque se puede tomar para enumerar los usuarios, grupos o servidores que tienen relaciones de confianza similares que podrían ser abusadas como un puente entre los dominios. Un actor de la amenaza podría entonces tener suficiente información para decidir a qué cuentas dirigirse con herramientas y ataques conocidos como Pass the Ticket o Kerberoasting, en los que los tickets de servicio o los hashes de credenciales se roban de la memoria y se utilizan para la escalada de privilegios y el movimiento lateral, o se descifran en ataques fuera de línea y se utilizan para habilitar otros ataques.
Los administradores de Active Directory de la empresa pueden mitigar estos ataques auditando y mapeando las relaciones de confianza entre bosques y dominios, minimizando el número de ellos siempre que sea posible. Otra buena práctica es segmentar los dominios sensibles en la red, reduciendo la superficie de ataque disponible para los actores de las amenazas.
Tipos de confianza en Active Directory
Mientras tanto, como se ha mencionado anteriormente, la confianza en un bosque de Active Directory se establece automáticamente como bidireccional y transitiva. Esto significa que los dominios padre e hijo -árbol y raíz- confían intrínsecamente entre sí. Esto significa que los objetos de Active Directory son de confianza para acceder a los recursos de esos dominios. Además: a medida que se crean nuevos dominios hijos, éstos heredan la confianza del dominio padre y pueden compartir recursos también.
La confianza no transitiva, por tanto, es una confianza que se detiene en los dominios con los que se creó. En tal escenario, los dominios A y B pueden confiar el uno en el otro, y B y C pueden confiar el uno en el otro, pero esa confianza no se extiende entre A y C sin que se cree una confianza unidireccional separada entre A y C.
La confianza, mientras tanto, puede ser sólo unidireccional. Por ejemplo, un dominio se considera de confianza, y otro es de confianza, por lo tanto la confianza se establece ya sea en una dirección saliente o entrante.
Un glosario de alto nivel de las confianzas dentro de Active Directory se ve así:
- Confianza de árbol raíz: Este tipo de confianza se crea cuando se añaden nuevos dominios raíz a un bosque de Active Directory. Se trata de confianzas transitivas bidireccionales y sólo los dominios situados en la parte superior de cada árbol forman parte de este tipo de confianza.
- Confianza padre-hijo: Cuando se añaden nuevos dominios hijos, Active Directory establece automáticamente una confianza transitiva bidireccional entre el dominio hijo y su padre. Los fideicomisos Padre-Hijo y Árbol-Raíz son fideicomisos predeterminados establecidos automáticamente por Active Directory.
- Fideicomiso de bosque: Los fideicomisos forestales deben ser creados por un administrador privilegiado. Establece una relación de confianza entre dos bosques de AD, permitiendo que los dominios de cualquiera de ellos confíen transitoriamente en el otro. El administrador puede determinar si la confianza es bidireccional o unidireccional.
- Confianza de reino: Este tipo se utiliza para establecer relaciones de confianza bidireccionales o unidireccionales entre un bosque de Active Directory y un entorno Kerberos distinto de Windows, como UNIX, Linux o sistemas operativos similares a UNIX.
- Confianza externa: Las confianzas externas son confianzas no transitivas creadas entre los dominios de Active Directory y los situados en un bosque diferente, o entre un bosque de AD y un dominio anterior a Windows Server 2000, como Windows NT.
- Confianza de acceso directo: Una confianza de acceso directo establece manualmente una relación de confianza entre dominios en grandes bosques de Active Directory que permite mejorar los tiempos de autenticación al acortar la ruta de confianza entre dominios.
La capacidad de crear una relación de confianza entre bosques está limitada a aquellos usuarios privilegiados que forman parte del grupo de seguridad Domain Admins o Enterprise Admins y tienen privilegios de creación de confianza. Los administradores, por su parte, también pueden restringir el acceso a los recursos a determinadas identidades dentro de un bosque, si es necesario. Microsoft también proporciona un complemento para dominios y fideicomisos de AD que verifica la confianza entre bosques, árboles o dominios.
Las relaciones de confianza entre bosques, árboles y dominios establecen una ruta en la que los usuarios pueden acceder a los recursos que necesitan. Como se ha descrito, algunas de estas relaciones son establecidas automáticamente por Active Directory y permiten una confianza transitiva bidireccional. Sin embargo, la confianza entre bosques requiere una cuidadosa consideración de las relaciones entre usuarios y objetos dentro de los dominios, y la confianza que debe establecerse para poder acceder fácilmente a los recursos en ambos lados de la relación.
Lectura adicional
Aquí están las entradas anteriores de nuestra serie de Conocimiento QOMPLX; busque más en nuestra serie de Conocimiento QOMPLX en los próximos días y semanas:
Conocimiento QOMPLX: Explicación de los ataques con billetes de oro
Conocimiento QOMPLX: Explicación de los ataques con billetes de plata
Conocimiento QOMPLX: Cómo responder a los ataques del ticket dorado
Conocimiento de QOMPLX: Explicación de los ataques DCSync
QOMPLX Conocimiento: Explicación de los ataques DCShadow
Conocimiento de QOMPLX: Explicación de los ataques Pass-the-Ticket
Conocimiento de QOMPLX: Explicación de los ataques de Kerberoasting
Conocimiento de QOMPLX: Explicación de los ataques de delegación de Kerberos
Otros enlaces:
MSMVPs: Active Directory Trusts
TechGenix: Administración de fideicomisos de Active Directory en Windows Server 2016
Microsoft: Consideraciones de seguridad para los fideicomisos
Microsoft: Qué son los dominios y los bosques
TechTarget: Cómo crear una confianza entre bosques en AD
Mitre ATT&CK: Descubrimiento de confianza de dominio
Harmj0y: Una guía para atacar los fideicomisos de dominio