Cuentas de usuario: peligro oculto de los administradores en la sombra

9 de mayo de 2022
| No hay comentarios

Compartir publicación

Las cuentas de administrador en la sombra son cuentas de usuario con privilegios excesivos que se asignaron sin darse cuenta. Si un pirata informático compromete una cuenta de administrador en la sombra, esto representa un alto riesgo para la seguridad de la empresa.Silverfort enumera las mejores prácticas contra las cuentas con privilegios demasiado altos.

Si un atacante puede secuestrar cuentas privilegiadas y acceder a sus sistemas de destino, esto pone en peligro masivamente a toda una red. Sin embargo, identificar administradores en la sombra y restringir sus privilegios no es una tarea fácil. A continuación se explica cómo surgen los administradores en la sombra y qué medidas pueden tomar las empresas para contener de manera efectiva este peligro oculto.

Así se crean las cuentas de administrador en la sombra

Error humano o gestión incorrecta de los derechos de los usuarios

Los administradores sin experiencia pueden crear administradores en la sombra por error o porque no entienden completamente las implicaciones de las asignaciones de permisos directos. Incluso si no hay intenciones maliciosas detrás de dichas cuentas de administrador en la sombra, aún pueden representar un riesgo para el medio ambiente al permitir a los usuarios el acceso no autorizado a recursos confidenciales.

Permisos temporales que no han sido revocados

Si bien esto se considera una mala práctica, en algunos casos, los administradores de TI otorgan a las cuentas permisos temporales que hacen que los usuarios sigan a los administradores con la intención de eliminar esos permisos en una fecha posterior. Si bien esto puede resolver problemas inmediatos, estos permisos a menudo se conservan, dejando estas cuentas con privilegios administrativos desatendidos.

Administradores ocultos creados por atacantes

Una vez que un atacante obtiene privilegios administrativos, puede configurar una cuenta de administrador en la sombra para ocultar sus actividades.

En cada uno de los tres casos anteriores, los administradores en la sombra representan un riesgo para la organización, ya que permiten que personas no autorizadas realicen actividades que no deberían realizar. El hecho de que estas cuentas no estén monitoreadas no solo significa que el acceso a las mismas no está restringido porque la empresa desconoce su existencia, sino que los accesos no autorizados y los cambios pueden pasar desapercibidos. En algunos casos, tales actividades solo se descubren cuando ya es demasiado tarde, por ejemplo, cuando un atacante extrae datos confidenciales.

Una mirada más cercana a los administradores en la sombra

Un administrador en la sombra es un usuario que no es miembro de un grupo de administración de Active Directory (AD). Sin embargo, este usuario tiene los derechos correspondientes que le permiten adquirir más habilidades administrativas. Éstas incluyen:

  • Derechos de control total (usuario o grupo)
  • Escribir todas las propiedades (para un grupo)
  • Restablecer contraseña (para un usuario)
  • Todos los derechos extendidos (para un usuario)
  • Cambiar permisos (usuario o grupo)
  • Escribir miembro (para un grupo)
  • escribir propietario (usuario o grupo)
  • El propietario real (usuario o grupo)

Además, cualquier usuario que pueda tomar el control de un administrador en la sombra de cualquier nivel también se considera un administrador en la sombra. Un ejemplo:

Administrador legítimo: Bob es un administrador de dominio (miembro del grupo Administradores de dominio). Esto significa que Bob tiene acceso administrativo a Active Directory.

Administrador en la sombra de nivel 1: Alice no es miembro del grupo de administradores de dominio. Sin embargo, Alice tiene la capacidad de restablecer la contraseña de Bob. Por lo tanto, Alice puede restablecer la contraseña de Bob, iniciar sesión como Bob y realizar tareas que requieren privilegios de administrador de dominio en su nombre. Esto convierte a Alice en una administradora en la sombra.

Administrador en la sombra de nivel 2: Larry puede restablecer la contraseña de Alice. Esto le permite iniciar sesión como Alice, cambiar la contraseña de Bob, luego iniciar sesión como Bob y realizar tareas que requieren privilegios de administrador de dominio. Esto convierte a Larry en un administrador en la sombra de segundo nivel. Y no es solo Larry: puede haber otro administrador en la sombra que pueda restablecer la contraseña de Larry y así sucesivamente. Una organización puede tener potencialmente una gran cantidad de administradores en la sombra en su red.

Cómo rastrear a los administradores en la sombra

Identificar administradores en la sombra es un problema difícil y complejo. En primer lugar, los administradores deben identificar quiénes son sus administradores: es decir, todos los usuarios que pertenecen a los grupos de Active Directory que les otorgan privilegios administrativos. Algunos grupos de AD son obvios, como el grupo "Administrador de dominio". Sin embargo, algunos grupos menos, ya que muchas organizaciones crean diferentes grupos administrativos para diferentes propósitos comerciales. En algunos casos incluso hay grupos anidados. Es importante capturar a todos los miembros de estos grupos. La pertenencia a grupos de asignación debe tener en cuenta no solo las identidades de usuario que aparecen en la lista de miembros, sino también las configuraciones de los ID de grupo principal de los usuarios.

Comprender a los miembros de los grupos administrativos en Active Directory es un primer paso importante, pero no es suficiente para identificar todas las cuentas privilegiadas en el dominio. La razón de esto es que los administradores en la sombra no son uno de ellos. Para rastrear a los administradores en la sombra, los funcionarios deben analizar los permisos de la Lista de control de acceso (ACL) otorgados a cada cuenta.

Analizar los permisos de ACL manualmente: una tarea interminable

Como se discutió anteriormente, para rastrear a los administradores en la sombra, los responsables de rastrear a los administradores en la sombra deben analizar los permisos de ACL de cada cuenta en AD para determinar si la cuenta tiene permisos para grupos administrativos o cuentas de administrador individuales. Esto en sí mismo es una tarea manual muy difícil, si no imposible.

Martin Kulendik, director regional de ventas DACH en Silverfort

Martin Kulendik, Director Regional de Ventas DACH en Silverfort (Imagen: Silverfort).

Si las personas responsables son capaces de realizar este análisis, reciben el primer nivel de administradores en la sombra. Pero eso no es suficiente: ahora se deben volver a analizar todas las ACL para comprender quién tiene permiso para modificar estos administradores ocultos de primer nivel. Y este proceso debe continuar hasta que se descubran todos los niveles de administradores en la sombra existentes. Si las personas responsables también encuentran un grupo de administradores en la sombra, esto complica aún más las cosas. La conclusión es que este análisis no es una tarea manual.

UIP: identificación automática de administradores en la sombra

Unified Identity Protection es una tecnología novedosa que consolida los controles de seguridad de IAM existentes de una organización y los extiende a todos los usuarios, activos y entornos de la organización. A través de su arquitectura sin agente ni proxy, esta solución puede monitorear todas las solicitudes de acceso de los usuarios y las cuentas de servicio en todos los activos y entornos, y extender el análisis de alta precisión basado en riesgos, el acceso condicional y las políticas de autenticación multifactor a todos los recursos de la empresa híbrida. entorno a cubrir

Las medidas de protección también pueden extenderse a bienes que antes no podían protegerse. Estos incluyen, por ejemplo, aplicaciones propias y heredadas, infraestructura crítica, sistemas de archivos, bases de datos y herramientas de acceso administrativo como PsExec, que actualmente permiten a los atacantes eludir la MFA basada en agentes.

Plataforma de protección de identidad unificada

Además, una plataforma de protección de identidad unificada identifica automáticamente las cuentas de administrador en la sombra que deben revisarse para determinar si sus permisos son legítimos o no. La tecnología consulta periódicamente a Active Directory para obtener las distintas ACL de todos los objetos del dominio. Identifica automáticamente los grupos de administradores comunes. Luego, la solución analiza las ACL en busca de usuarios y grupos de administradores en la sombra que tengan los mismos derechos que los miembros de esos grupos de administradores, derechos que efectivamente los convierten en cuentas/grupos de administradores en la sombra. El programa analiza las ACL con la frecuencia necesaria para identificar todos los niveles de cuentas y grupos de administradores en la sombra y garantizar que los responsables tengan visibilidad completa de estas cuentas potencialmente maliciosas.

Los administradores de AD deben revisar esta lista completa para determinar si los permisos de estas cuentas y grupos de administradores en la sombra son legítimos o no, y si deben restringirse o monitorearse.

Supervisión continua de todas las solicitudes de acceso

Además, una solución de protección de identidad unificada monitorea y analiza continuamente todas las solicitudes de acceso dentro del dominio. Considera que los administradores en la sombra son cuentas de alto riesgo. La tecnología identifica automáticamente y en tiempo real la actividad confidencial, como un intento de restablecer la contraseña de un usuario, y emite una alerta o solicita al usuario que verifique su identidad con la autenticación de múltiples factores (MFA) antes de hacerlo Permitir el restablecimiento de contraseña. Esto puede evitar cambios no autorizados en las cuentas de los usuarios, así como el acceso no autorizado a recursos confidenciales en la red.

Con Unified Identity Protection, las organizaciones pueden administrar y proteger todos sus activos en todos los entornos con políticas y visibilidad consistentes para contrarrestar de manera efectiva los múltiples vectores de ataque basados ​​en la identidad, incluidos los riesgos que plantean los administradores en la sombra.

Más en Silverfort.com

 

Sobre Silverfort

Silverfort proporciona la primera plataforma de protección de identidad unificada que consolida los controles de seguridad de IAM en las redes empresariales y los entornos de nube para mitigar los ataques basados ​​en la identidad. Utilizando tecnología innovadora sin agente y sin proxy, Silverfort se integra a la perfección con todas las soluciones de IAM, unificando su análisis de riesgo y controles de seguridad y extendiendo su cobertura a activos que anteriormente no podían protegerse, como aplicaciones propias y heredadas, infraestructura de TI, sistemas de archivos, línea de comando. herramientas, acceso de máquina a máquina y más.

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

Seguridad digital: los consumidores son los que más confían en los bancos

Una encuesta sobre confianza digital mostró que los bancos, la atención médica y el gobierno son los sectores en los que más confían los consumidores. Los medios de comunicación- ➡ Leer más

Bolsa de trabajo en la Darknet: los piratas informáticos buscan información privilegiada renegada

La Darknet no es sólo un intercambio de bienes ilegales, sino también un lugar donde los hackers buscan nuevos cómplices. ➡ Leer más

Sistemas de energía solar: ¿qué tan seguros son?

Un estudio examinó la seguridad informática de los sistemas de energía solar. Los problemas incluyen falta de cifrado durante la transferencia de datos, contraseñas estándar y actualizaciones de firmware inseguras. tendencia ➡ Leer más

Nueva ola de phishing: los atacantes utilizan Adobe InDesign

Actualmente hay un aumento de los ataques de phishing que abusan de Adobe InDesign, un sistema de publicación de documentos conocido y confiable. ➡ Leer más

Stories
, , , , ,