Explore los indicadores de seguridad de Purple Knight

Filtros
Categoría
  • Seguridad de la cuenta
  • Delegación AD
  • Infraestructura AD
  • Azure AD
  • Seguridad de la política de grupo
  • Seguridad híbrida
  • Seguridad Kerberos
  • Okta
Nombre del indicador
Descripción
Severidad
  • Todo
  • Advertencia
  • Información
  • Crítica
Marco
IOE/IOC

No hay resultados

Restablecimiento de la contraseña de la cuenta de sincronización de AAD Connect
Comprueba las políticas de acceso condicional que tienen la función de evaluación de acceso continuo desactivada. La función Evaluación de acceso continuo permite revocar el token de acceso a las aplicaciones de Microsoft y limitar el tiempo que un atacante tiene acceso a los datos de la empresa. Advertencia
  • MITRE ATT&CK:

    Persistencia

    Escalada de privilegios

  • IOE
Usuarios con privilegios en AAD que también tienen privilegios en AD
Comprueba si hay usuarios con privilegios en Azure AD que también lo sean en AD local. Si se pone en peligro una cuenta con privilegios tanto en AD como en AAD, se pueden poner en peligro ambos entornos. Crítica
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • IOE
Actualización anormal de la contraseña
Busca cuentas de usuario con un cambio reciente de pwdLastSet sin la correspondiente replicación de la contraseña. Si la opción "El usuario debe cambiar la contraseña en el siguiente inicio de sesión" está activada y luego se desactiva, podría indicar un error administrativo o un intento de eludir la política de contraseñas de la organización. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Persistencia

  • IOE
  • COI
Cuentas con altSecurityIdentities configuradas
Comprueba si hay cuentas con el atributo altSecurityIdentities configurado. El atributo altSecurityIdentities es un atributo multivalor utilizado para crear asignaciones para certificados X.509 y cuentas Kerberos externas. Cuando se configura, es posible añadir valores que esencialmente suplantan la identidad de esa cuenta. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • ANSSI:

    vuln1_delegación_a2d2

  • IOE
Cuentas con Delegación Restringida configuradas en SPN fantasma
Busca cuentas que tengan Delegación Restringida configurada para SPN fantasma. Cuando los equipos son dados de baja, su configuración de delegación no siempre se limpia. Dicha delegación podría permitir a un atacante que tenga privilegios para escribir en el atributo ServicePrincipalName de otra cuenta de servicio, escalar privilegios en esos servicios. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • ANSSI:

    vuln1_delegación_a2d2

  • IOE
Cuentas con delegación restringida configuradas en krbtgt
Busca cuentas que tengan configurada la Delegación Restringida al servicio krbtgt. La creación de una delegación de Kerberos en la cuenta krbtgt permite a ese principio (usuario u ordenador) generar una solicitud de Servicio de Concesión de Ticket(TGS) a la cuenta krbtgt como cualquier usuario, lo que tiene el efecto de generar un Ticket de Concesión de Tickets (TGT) similar a un Golden Ticket. Crítica
  • MITRE ATT&CK:

    Escalada de privilegios

  • ANSSI:

    vuln1_delegación_a2d2

  • MITRE D3FEND:

    Detectar - Supervisión de cuentas de dominio

  • IOE
Autoridad de certificación AD con inscripción web (PetitPotam y ESC8)
Identifica los servidores AD CS del dominio que aceptan la autenticación NTLM para Web Enrollment. Los atacantes pueden abusar de un fallo en AD CS Web Enrollment que permite ataques de retransmisión NTLM para autenticarse como usuario con privilegios. Crítica
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • IOE
Objetos AD creados en los últimos 10 días
Busca cualquier objeto de AD que haya sido creado recientemente. Permite detectar cuentas desconocidas o ilegítimas. Está pensado para ser utilizado en la búsqueda de amenazas, el análisis posterior al ataque o la confirmación de que el sistema ha sido comprometido. Información
  • MITRE ATT&CK:

    Movimiento lateral

    Persistencia

  • MITRE D3FEND:

    Detectar - Supervisión de cuentas de dominio

  • IOE
  • COI
Usuarios con privilegios de AD sincronizados con AAD
Comprueba los usuarios privilegiados de AD que están sincronizados con AAD. Cuando un usuario privilegiado de AD está sincronizado con AAD, un compromiso del usuario de AAD puede resultar en que el entorno local también se vea comprometido. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • IOE
Las unidades administrativas no se utilizan
Comprueba la existencia de unidades administrativas. Las unidades administrativas ayudan a limitar el alcance de la autoridad de un principio de seguridad. Los atacantes que comprometen una cuenta administrativa podrían tener un amplio acceso a los recursos. Utilizando unidades administrativas, es posible limitar el alcance de administradores específicos y asegurar que un solo compromiso de credenciales es restringido y no afecta a todo el entorno. Información
  • MITRE ATT&CK:

    Movimiento lateral

  • IOE
Administradores con contraseñas antiguas
Busca las cuentas de administrador cuya contraseña no se ha cambiado en más de 180 días. Si las contraseñas de las cuentas de administrador no se cambian con regularidad, estas cuentas podrían ser objeto de ataques para descubrir la contraseña. Advertencia
  • MITRE ATT&CK:

    Descubrimiento

  • ANSSI:

    vuln1_contraseña_cambio_priv

  • MITRE D3FEND:

    Endurecer - Política de contraseñas fuertes

  • IOE
Acceso anónimo a Active Directory habilitado
Busca la presencia del indicador que permite el acceso anónimo. El acceso anónimo permitiría a los usuarios no autentificados consultar AD. Crítica
  • MITRE ATT&CK:

    Evadir la defensa

    Acceso inicial

    Persistencia

    Escalada de privilegios

  • ANSSI:

    vuln2_compatible_2000_ anónimo

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Acceso anónimo de NSPI a AD habilitado
Detecta cuando el acceso anónimo a la interfaz del proveedor de servicios de nombres (NSPI) está activado. Permite enlaces anónimos basados en RPC a AD. NSPI rara vez está habilitado, por lo que si se encuentra habilitado debería ser motivo de preocupación. Advertencia
  • MITRE ATT&CK:

    Acceso inicial

  • ANSSI:

    vuln1_dsheuristics_bad

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Los contextos adicionales de Nombre de aplicación y Ubicación geográfica están desactivados en MFA
Comprueba si los contextos adicionales de nombre de aplicación y ubicación geográfica están desactivados en la autenticación multifactor (MFA). Habilitar los contextos adicionales de nombre de aplicación y ubicación geográfica en MFA proporciona un nivel adicional de seguridad para el inicio de sesión de un usuario. Advertencia
  • MITRE ATT&CK:

    Acceso inicial

  • IOE
Cuenta de administrador de dominio incorporada utilizada en las últimas dos semanas
Comprueba si el lastLogonTimestamp de la cuenta de administrador de dominio integrada se ha actualizado recientemente. Podría indicar que el usuario ha sido comprometido. Advertencia
  • MITRE ATT&CK:

    Evadir la defensa

  • MITRE D3FEND:

    Detectar - Análisis del alcance del compromiso de credenciales

    Endurecer - Política de contraseñas fuertes

  • IOE
  • COI
Cuenta de administrador de dominio incorporada con contraseña antigua (180 días)
Comprueba si el atributo pwdLastSet de la cuenta de administrador de dominio incorporada se ha cambiado en los últimos 180 días. Si esta contraseña no se cambia con regularidad, esta cuenta puede ser vulnerable a los ataques de fuerza bruta a las contraseñas. Información
  • MITRE ATT&CK:

    Acceso a las credenciales

  • MITRE D3FEND:

    Endurecer - Política de contraseñas fuertes

  • IOE
La cuenta de invitados integrada está habilitada
Comprueba que la cuenta de "invitado" de AD integrada está desactivada. Una cuenta de invitado habilitada permite el acceso sin contraseña al dominio, lo que podría presentar un riesgo de seguridad. Información
  • MITRE ATT&CK:

    Descubrimiento

    Reconocimiento

  • MITRE D3FEND:

    Desalojar - Bloqueo de la cuenta

  • IOE
Plantillas de certificados que permiten a los solicitantes especificar un subjectAltName
Comprueba si las plantillas de certificados permiten a los solicitantes especificar un subjectAltName en la CSR. Cuando las plantillas de certificados permiten a los solicitantes especificar un subjectAltName en la CSR, el resultado es que pueden solicitar un certificado como cualquier persona (por ejemplo, un administrador de dominio). Cuando esto se combina con un EKU de autenticación presente en la plantilla de certificado, puede llegar a ser extremadamente peligroso. Crítica
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • MITRE D3FEND:

    Detectar - Análisis de Certificados

  • IOE
Plantillas de certificados con tres o más configuraciones no seguras
Comprueba si las plantillas de certificados del bosque tienen un mínimo de tres configuraciones no seguras: Aprobación del gestor desactivada, No se requieren firmas autorizadas, SAN activado, EKU de autenticación presente. Cada una de estas configuraciones puede ser aprovechada por los adversarios para obtener acceso. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • MITRE D3FEND:

    Detectar - Análisis de Certificados

  • IOE
Persistencia de la autenticación basada en certificados
Evalúa la presencia de funciones y permisos específicos de la aplicación Azure AD MSFT graph, que cuando se combinan pueden permitir a un usuario establecer la persistencia a través de la autenticación basada en certificados (CBA). Advertencia
  • MITRE ATT&CK:

    Persistencia

    Escalada de privilegios

  • IOE
Cambios en los especificadores de visualización de AD en los últimos 90 días
Busca los cambios recientes realizados en el atributo adminContextMenu en los especificadores de visualización de AD. La modificación de este atributo puede permitir a los atacantes utilizar los menús contextuales para que los usuarios ejecuten código arbitrario. Información
  • MITRE ATT&CK:

    Evadir la defensa

  • IOE
  • COI
Cambios en la política de dominios por defecto o en la política de controladores de dominio por defecto en los últimos 7 días
Busca cambios recientes en los GPOs de Política de Dominio por Defecto y Política de Controladores de Dominio por Defecto. Estos GPOs controlan las configuraciones de seguridad de todo el dominio y de los controladores de dominio y pueden ser mal utilizados para obtener acceso privilegiado a AD. Información
  • MITRE ATT&CK:

    Acceso a las credenciales

    Movimiento lateral

    Escalada de privilegios

  • IOE
  • COI
Cambios en el esquema del descriptor de seguridad por defecto en los últimos 90 días
Detecta los cambios recientes de atributos del esquema realizados en el descriptor de seguridad por defecto. Si un atacante consigue acceder a la instancia del esquema en un bosque, cualquier cambio realizado puede propagarse a los objetos recién creados en AD, debilitando potencialmente la postura de seguridad de AD. Advertencia
  • MITRE ATT&CK:

    Evadir la defensa

    Escalada de privilegios

  • MITRE D3FEND:

    Detectar - Supervisión de cuentas de dominio

  • IOE
  • COI
Cambios en los permisos de lectura de MS LAPS
Busca permisos en las cuentas de los ordenadores que podrían permitir la exposición inadvertida de las cuentas de administrador local en entornos que utilizan Microsoft LAPS. Los atacantes pueden utilizar esta capacidad para moverse lateralmente a través de un dominio utilizando cuentas de administrador local comprometidas. Información
  • MITRE ATT&CK:

    Acceso a las credenciales

    Movimiento lateral

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Cambios en la afilicaión del grupo de acceso compatible con PreWindows 2000
Busca cambios en el grupo incorporado "Acceso compatible con Windows 2000". Es mejor asegurarse de que este grupo no contenga los grupos "Anonymous Logon" o "Everyone". Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • IOE
  • COI
Cambios en la pertenencia a grupos privilegiados en los últimos 7 días
Busca cambios recientes en los grupos privilegiados incorporados. Podría indicar intentos de escalar privilegios. Advertencia
  • MITRE ATT&CK:

    Persistencia

    Escalada de privilegios

  • IOE
  • COI
Cambios en los miembros no privilegiados del grupo en los últimos 7 días
Busca grupos sin privilegios cuya pertenencia haya cambiado en los últimos siete días. Los cambios de pertenencia a grupos sin privilegios pueden dar acceso a recursos que utilicen los privilegios del grupo. Advertencia
  • MITRE ATT&CK:

    Persistencia

    Escalada de privilegios

  • IOE
Comprobación de los permisos de riesgo de la API concedidos a los responsables del servicio de la aplicación
Comprueba  los permisos de la API que podrían suponer un riesgo si no están planificados y apruebados adecuadamente. Los administradores de aplicaciones maliciosos podrían utilizar estos permisos para concederse privilegios administrativos a sí mismos o a otros. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • IOE
Comprobar si hay usuarios con una MFA débil o sin ella
Comprueba el registro de todos los usuarios para la autenticación multifactor (MFA) y los métodos configurados. Debido a la falta de medidas de seguridad uniformes en las redes móviles, los SMS y la voz se consideran menos seguros que las aplicaciones móviles y FIDO. Un usuario malintencionado puede falsificar códigos y engañar a los usuarios para que proporcionen la autenticación. Advertencia
  • MITRE ATT&CK:

    Acceso inicial

    Movimiento lateral

  • IOE
Comprobar si se permite la autenticación heredada
Comprueba si la autenticación heredada está bloqueada, ya sea mediante políticas de acceso condicional o valores predeterminados de seguridad. Permitir la autenticación heredada aumenta el riesgo de que un atacante inicie sesión utilizando credenciales previamente comprometidas. Información
  • MITRE ATT&CK:

    Acceso a las credenciales

  • IOE
Controla que los invitados tengan permiso para invitar a otros invitados
Comprueba los permisos de invitación de los invitados. No se recomienda permitir que los invitados envíen invitaciones. Advertencia
  • MITRE ATT&CK:

    Movimiento lateral

  • IOE
Toma de posesión de cuentas de ordenador mediante la delegación restringida basada en recursos de Kerberos (RBCD)
Busca el atributo msDS-Allowed-ToActOnBehalfOfOtherIdentity en los objetos informáticos. Los atacantes podrían utilizar la configuración de Kerberos RBCD para escalar privilegios a través de un equipo que controlen si ese equipo tiene delegación en el sistema objetivo. Información
  • MITRE ATT&CK:

    Acceso a las credenciales

    Movimiento lateral

    Escalada de privilegios

  • IOE
  • COI
Cuentas de ordenador en grupos privilegiados
Busca cuentas de ordenador que sean miembros de un grupo con privilegios de dominio. Si una cuenta de ordenador es miembro del grupo privilegiado del dominio, entonces cualquiera que comprometa esa cuenta de ordenador puede actuar como miembro de ese grupo. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • MITRE D3FEND:

    Detectar - Supervisión de cuentas de dominio

  • IOE
Cuentas de ordenador o de usuario con delegación no restringida
Busca cuentas de ordenador o de usuario que sean de confianza para la delegación de Kerberos sin restricciones. Las cuentas con delegación no restringida son un objetivo fácil para los ataques basados en Kerberos. Advertencia
  • MITRE ATT&CK:

    Evadir la defensa

    Movimiento lateral

  • ANSSI:

    vuln2_delegación_t4d

  • MITRE D3FEND:

    Detectar - Supervisión de cuentas de dominio

  • IOE
Ordenadores con versiones antiguas del sistema operativo
Busca cuentas de equipos que ejecuten versiones de Windows anteriores a Windows Server 2012 R2 y Windows 8.1. Los ordenadores que ejecutan versiones del sistema operativo más antiguas y no soportadas podrían ser el objetivo de vulnerabilidades conocidas o no parcheadas. Información
  • MITRE ATT&CK:

    Movimiento lateral

    Persistencia

  • MITRE D3FEND:



    Endurecer - Actualización de software

  • IOE
Ordenadores cuya contraseña se estableció por última vez hace más de 90 días
"Busca cuentas informáticas que no hayan rotado automáticamente sus contraseñas. Las cuentas informáticas deberían rotar automáticamente sus contraseñas cada 30 días; los objetos que no lo estén haciendo podrían mostrar indicios de manipulación." Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • ANSSI:

    vuln2_contraseña_cambio_servidor_no_cambio_90

  • MITRE D3FEND:

    Endurecer - Política de contraseñas fuertes

  • IOE
Las políticas de acceso condicional contienen direcciones IP privadas
Comprueba si alguna política de acceso condicional contiene ubicaciones con nombre con direcciones IP privadas. Tener direcciones IP privadas en ubicaciones con nombre asociadas con políticas de acceso condicional podría dar lugar a una situación de seguridad no deseada. Advertencia
  • MITRE ATT&CK:

    Acceso inicial

  • IOE
Política de acceso condicional que desactiva la persistencia de tokens de administrador
Busca políticas de acceso condicional que deshabiliten la persistencia de tokens para usuarios con roles de administrador y que tengan una frecuencia de inicio de sesión menor o igual a nueve horas. Cuando un inicio de sesión de administrador tiene su token almacenado en caché en el cliente, es vulnerable a un ataque relacionado con un token de actualización principal. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • IOE
Política de acceso condicional que desactiva la persistencia de tokens de administrador
Busca políticas de acceso condicional que deshabiliten la persistencia de tokens para usuarios con roles de administrador y que tengan una frecuencia de inicio de sesión menor o igual a nueve horas. Cuando un inicio de sesión de administrador tiene su token almacenado en caché en el cliente, es vulnerable a un ataque relacionado con un token de actualización principal. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • IOE
Política de acceso condicional que no exige un cambio de contraseña a los usuarios de alto riesgo
Comprueba si existe una política de acceso condicional que requiera un cambio de contraseña si la API de riesgo de usuario de Azure AD Identity Protection determina que el usuario es de alto riesgo. Un riesgo de usuario alto representa una alta probabilidad de que una cuenta se haya visto comprometida. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • IOE
Política de acceso condicional que no requiere MFA cuando se ha identificado el riesgo de inicio de sesión
Comprueba si existe una política de acceso condicional que requiera MFA si la API de riesgo de inicio de sesión de Azure AD Identity Protection determina que el riesgo de solicitud de autenticación es medio o alto. Un riesgo de inicio de sesión medio o alto representa una probabilidad de media a alta de que se haya realizado una solicitud de autenticación no autorizada. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • IOE
Política de acceso condicional con la evaluación de acceso continuo desactivada
Comprueba las políticas de acceso condicional que tienen la función de evaluación de acceso continuo desactivada. La función Evaluación de acceso continuo permite revocar el token de acceso a las aplicaciones de Microsoft y limitar el tiempo que un atacante tiene acceso a los datos de la empresa. Advertencia
  • MITRE ATT&CK:

    Persistencia

    Escalada de privilegios

  • COI
Las vías de control peligrosas ponen en riesgo las plantillas de los certificados
Busca entidades de seguridad no predeterminadas con capacidad para escribir propiedades en una plantilla de certificado. Los usuarios sin privilegios con propiedades de escritura en plantillas de certificados tienen la capacidad de escalar su acceso y crear certificados vulnerables para inscribirse. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • ANSSI:

    vuln1_adcs_template_ control

  • MITRE D3FEND:

    Detectar - Análisis de Certificados

  • IOE
  • COI
Ruta peligrosa del script de inicio de sesión de GPO
Busca rutas de scripts de inicio de sesión a scripts que no existen y donde un usuario con pocos privilegios tiene permisos en su carpeta padre. También busca rutas de scripts de inicio de sesión a scripts existentes que den a los usuarios con menos privilegios permisos para modificar el script. Mediante la inserción de un nuevo script o la modificación de un script existente que otorgue a un usuario normal permiso para modificar el script o acceso a su carpeta padre, un atacante puede ejecutar código de forma remota en una mayor parte de la red sin privilegios especiales. Advertencia
  • MITRE ATT&CK:

    Movimiento lateral

    Escalada de privilegios

  • MITRE D3FEND:

    Detectar - Análisis de archivos

  • IOE
Conjunto de Atributos de Confianza Peligrosos
Identifica los fideicomisos con uno de los siguientes atributos establecidos: TRUST_ATTRIBUTE_ CROSS_ORGANIZATION_ENABLE_TGT_DELEGATION o TRUST_ATTRIBUTE_ PIM_TRUST. La configuración de estos atributos permitirá delegar un vale Kerberos o reducirá la protección que proporciona el filtrado SID. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • MITRE D3FEND:

    Harden - Política de confianza del dominio

  • IOE
  • COI
Derechos de usuario peligrosos concedidos por GPO
Busca usuarios sin privilegios a los que se conceden permisos elevados a través de GPO. Un atacante puede explotar potencialmente los derechos de usuario otorgados por un GPO para obtener acceso a los sistemas, robar información confidencial o causar otros tipos de daños. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • MITRE D3FEND:

    Detectar - Supervisión de cuentas de dominio

    Endurecer - Política de contraseñas fuertes

  • IOE
El propietario del controlador de dominio no es un administrador
Busca las cuentas de equipo del controlador de dominio cuyo propietario no sea un administrador de dominio, un administrador de empresa o una cuenta de administrador integrada. Obtener el control de las cuentas de los equipos DC permite una vía fácil para comprometer el dominio. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • ANSSI:

    vuln1_permissions_dc

  • MITRE D3FEND:

    Endurecer - Permisos de configuración del sistema

  • IOE
Controladores de dominio en un estado incoherente
Busca controladores de dominio que puedan estar en un estado incoherente, lo que indica un posible DC falso o no funcional. Los equipos ilegítimos que actúan como DCs podrían indicar que alguien ha comprometido el entorno (por ejemplo, utilizando DCShadow o un ataque similar de suplantación de DC). Información
  • MITRE ATT&CK:

    Escalada de privilegios

    Desarrollo de recursos

  • ANSSI:

    vuln1_dc_inconsistente_ uac

  • IOE
Controladores de dominio que no se han autenticado en el dominio durante más de 45 días
Busca controladores de dominio que no se hayan autenticado en el dominio en más de 45 días. La falta de autenticación en el dominio revela máquinas no sincronizadas. Si un atacante compromete un DC desconectado y descifra las credenciales o se vuelve a conectar al dominio, podría introducir cambios no deseados en Active Directory. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • ANSSI:

    vuln1_contraseña_cambio_inactivo_dc

  • MITRE D3FEND:

    Aislar - Aislamiento de la ejecución

  • IOE
Controladores de dominio con contraseñas antiguas
Busca cuentas de máquina de controlador de dominio cuya contraseña no se haya restablecido en más de 45 días. Las cuentas de máquina con contraseñas antiguas podrían indicar un DC que ya no funciona en el dominio. Además, los DC con contraseñas de cuentas de máquina antiguas podrían ser tomados más fácilmente. Información
  • MITRE ATT&CK:

    Escalada de privilegios

    Desarrollo de recursos

  • IOE
Controladores de dominio con Delegación Restringida Basada en Recursos (RBCD) habilitada
Detecta una configuración que concede ciertas cuentas con delegación completa a los controladores de dominio. Advertencia
  • MITRE ATT&CK:

    Evadir la defensa

    Movimiento lateral

    Escalada de privilegios

  • ANSSI:

    vuln1_delegation_sour- cedeleg

  • IOE
  • COI
Confianza en un dominio de terceros sin cuarentena
Busca las confianzas de bosque salientes que tienen la bandera de Cuarentena establecida en falso. Un atacante que haya comprometido el dominio remoto puede crear una cuenta "suplantable" para obtener acceso a todos los recursos del dominio local. Si se expone una ruta de control peligrosa, cualquier cuenta "falsificable" también podría escalar sus privilegios hasta los de administrador de dominio y comprometer todo el bosque". Advertencia
  • MITRE ATT&CK:

    Movimiento lateral

  • ANSSI:

    vuln1_trusts_domain_ notfiltered

  • MITRE D3FEND:

    Harden - Política de confianza del dominio

  • IOE
Dominios con niveles funcionales obsoletos
Busca dominios de AD que tengan un nivel funcional de dominio establecido en Windows Server 2012 o inferior. Los niveles funcionales inferiores implican que no se pueden aprovechar las nuevas funciones de seguridad disponibles en AD. Información
  • MITRE ATT&CK:

    Reconocimiento

  • MITRE D3FEND:



    Endurecer - Actualización de software

  • IOE
Cuentas de administrador habilitadas que están inactivas
Busca cuentas de administrador que estén habilitadas, pero que no hayan iniciado sesión en los últimos 90 días. Los atacantes que puedan comprometer estas cuentas podrán operar sin ser detectados. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • ANSSI:

    vuln1_user_accounts_dormant

  • MITRE D3FEND:

    Desalojar - Bloqueo de la cuenta

  • IOE
Administradores de claves de empresa con acceso total al dominio
Busca pruebas de un error en ciertas versiones de Windows Server 2016 Adprep que concedía acceso indebido al grupo Enterprise Key Admins. Este problema se corrigió en una versión posterior de Windows 2016; sin embargo, si no se ha aplicado esta corrección, este error concede a este grupo la capacidad de replicar todos los cambios de AD (ataque de DCSync). Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Movimiento lateral

  • ANSSI:

    vuln2_adupdate_bad

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Administradores efímeros
Busca usuarios que se hayan añadido y eliminado de un grupo de administradores en un periodo de 48 horas. Estas cuentas de corta duración pueden indicar actividad maliciosa. Información
  • MITRE ATT&CK:

    Persistencia

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
  • COI
Pruebas del ataque Mimikatz DCShadow
Busca evidencias de que se ha utilizado un equipo para introducir cambios arbitrarios en el AD utilizando un controlador de dominio "falso". Estos cambios eluden el registro de eventos de seguridad y no pueden ser detectados por las herramientas de monitorización estándar. Crítica
  • MITRE ATT&CK:

    Evadir la defensa

  • MITRE D3FEND:

    Detectar - Supervisión de cuentas de dominio

    Aislar - Aislamiento de la ejecución

  • IOE
  • COI
El FGPP no se aplica al Grupo
Busca la política de contraseñas de grano fino (FGPP) dirigida a un grupo Universal o Local de Dominio. Al cambiar la configuración del ámbito de un grupo de Global a Universal o Local de dominio, la configuración de FGPP deja de aplicarse a ese grupo, lo que reduce sus controles de seguridad de contraseñas. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Persistencia

  • MITRE D3FEND:

    Endurecer - Política de contraseñas fuertes

  • IOE
Los principios de seguridad exterior en el Grupo Privilegiado
Busca miembros de grupos protegidos incorporados que sean Foreign Security Principals. Se debe tener especial cuidado al incluir cuentas de otros dominios como miembros de grupos privilegiados. Los Foreign Security Principals no tienen el atributo adminCount y por lo tanto pueden no ser detectados por algunas herramientas de auditoría de seguridad. Además, un atacante puede añadir una cuenta privilegiada e intentar ocultarla utilizando este método. Advertencia
  • MITRE ATT&CK:

    Evadir la defensa

    Persistencia

  • MITRE D3FEND:

    Detectar - Supervisión de cuentas de dominio

  • IOE
El bosque contiene más de 50 cuentas privilegiadas
Cuenta el número de cuentas privilegiadas definidas en el bosque. En general, cuantas más cuentas privilegiadas tenga, más oportunidades tendrán los atacantes de comprometer una de estas cuentas. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

    Reconocimiento

  • ANSSI:

    vuln1_privileged_members

  • IOE
gMSA no utilizado
Comprueba si hay objetos de cuentas de servicio administradas por grupo (gMSA) habilitados en el dominio. La función gMSA de Windows Server 2016 permite la rotación automática de las contraseñas de las cuentas de servicio, lo que las hace mucho más difíciles de vulnerar para los atacantes. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • IOE
Objetos gMSA con contraseñas antiguas
Busca cuentas de servicios gestionados por grupo (gMSA) que no hayan rotado automáticamente sus contraseñas. Los objetos que no rotan sus contraseñas con regularidad podrían mostrar indicios de manipulación. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • IOE
Delegación de enlaces GPO a nivel de sitio AD
Busca principios sin privilegios que tengan permisos de escritura en el atributo GPLink o Write DACL/Write Owner en el objeto. Cuando los usuarios sin privilegios pueden vincular los GPO en el nivel de sitio de AD, tienen la capacidad de realizar cambios en los controladores de dominio. Pueden potencialmente elevar el acceso y cambiar la postura de seguridad de todo el dominio. Advertencia
  • MITRE ATT&CK:

    Ejecución

    Escalada de privilegios

  • ANSSI:

    vuln1_permissions_gpo_ priv

  • IOE
Delegación de enlace de GPO en el nivel de OU del controlador de dominio
Busca principios sin privilegios que tengan permisos de escritura en el atributo GPLink o Write DAC/Write Owner en el objeto. Cuando los usuarios sin privilegios pueden vincular los GPO en el nivel de OU del controlador de dominio, tienen la capacidad de realizar cambios en los controladores de dominio. Pueden potencialmente elevar el acceso y cambiar la postura de seguridad de todo el dominio. Advertencia
  • MITRE ATT&CK:

    Ejecución

    Escalada de privilegios

  • ANSSI:

    vuln1_permissions_gpo_ priv

  • IOE
Delegación de enlaces GPO a nivel de dominio
Busca principios sin privilegios que tengan permisos de escritura en el atributo GPLink o Write DACL/Write Owner en el objeto. Cuando los usuarios sin privilegios pueden vincular los GPO a nivel de dominio, tienen la capacidad de realizar cambios en todos los usuarios y equipos del dominio. Pueden potencialmente elevar el acceso y cambiar la postura de seguridad de todo el dominio. Advertencia
  • MITRE ATT&CK:

    Evadir la defensa

    Escalada de privilegios

  • ANSSI:

    vuln1_permissions_gpo_ priv

  • IOE
Cuentas de invitados que han estado inactivas durante más de 30 días
Comprueba las cuentas de invitados que no han iniciado sesión, utilizando un inicio de sesión interactivo o no interactivo, durante los últimos 30 días. Las cuentas invitadas inactivas dejan una puerta abierta a su inquilino de Azure. Advertencia
  • MITRE ATT&CK:

    Persistencia

    Escalada de privilegios

  • IOE
Invitaciones de invitados no aceptadas en los últimos 30 días
Comprueba si hay invitaciones de invitados que no hayan sido aceptadas en los 30 días posteriores a la invitación. Las invitaciones antiguas suponen un riesgo para la seguridad y deben eliminarse. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • IOE
Los usuarios invitados no están restringidos
Comprueba que los usuarios invitados están restringidos en el tenant. Los atacantes pueden utilizar usuarios invitados sin restricciones para realizar la enumeración de usuarios y grupos en el tenant. Información
  • MITRE ATT&CK:

    Reconocimiento

  • IOE
Funciones personalizadas con privilegios elevados
Comprueba si hay funciones personalizadas que concedan privilegios elevados para permitir a un usuario realizar acciones en las contraseñas y MFA de otros usuarios. Las funciones personalizadas conceden privilegios elevados y pueden suponer un riesgo de seguridad importante si no se gestionan correctamente. Advertencia
  • MITRE ATT&CK:

    Persistencia

    Escalada de privilegios

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Legado habilitado en el objeto AdminSDHolder
Comprueba si se ha activado el legado en la lista de control de acceso (ACL) del objeto AdminSDHolder, lo que podría indicar un intento de modificar los permisos de los objetos privilegiados que están sujetos a AdminSDHolder (por ejemplo, usuarios o grupos con adminCount=1). Los cambios en el objeto AdminSDHolder son muy poco frecuentes. Los administradores deben saber que se ha realizado un cambio y ser capaces de articular la razón del mismo. Si el cambio no fue intencional, la probabilidad de compromiso es muy alta. Crítica
  • MITRE ATT&CK:

    Acceso a las credenciales

    Evadir la defensa

  • IOE
  • COI
Cuenta krbtgt de Kerberos con contraseña antigua
Busca una cuenta de usuario krbtgt cuya contraseña no haya cambiado en los últimos 180 días. Si la contraseña de la cuenta krbtgt está comprometida, se pueden realizar ataques Golden Ticket para obtener acceso a cualquier recurso en un dominio AD. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • ANSSI:

    vuln2_krbtgt

  • MITRE D3FEND:

    Endurecer - Política de contraseñas fuertes

  • IOE
Delegación de transición del protocolo Kerberos configurada
Busca servicios que hayan sido configurados para permitir la transición del protocolo Kerberos, que básicamente dice que un servicio delegado puede utilizar cualquier protocolo de autenticación disponible. Los servicios comprometidos pueden reducir la calidad de su protocolo de autenticación que es más fácil de comprometer (por ejemplo, NTLM). Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Movimiento lateral

    Escalada de privilegios

  • IOE
  • COI
Cuenta krbtgt con la Delegación Limitada por Recursos (RBCD) activada
Busca una cuenta krbtgt que tenga definida una Delegación Restringida Basada en Recursos (RBCD). Normalmente, las delegaciones no deberían crearse en la cuenta krbtgt; si se encuentran, podrían representar un riesgo significativo y deberían mitigarse rápidamente. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • ANSSI:

    vuln1_delegación_a2d2

  • IOE
  • COI
La firma LDAP no es necesaria en los Controladores de Dominio
Busca controladores de dominio donde no se requiera la firma de LDAP. El tráfico de red sin firmar está expuesto a los ataques MITM (Man-in-the-Middle), en los que los atacantes alteran los paquetes y los reenvían al servidor LDAP, haciendo que el servidor tome decisiones basadas en peticiones falsas del cliente LDAP. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • IOE
MFA no está configurado para las cuentas privilegiadas
Comprueba si la autenticación multifactorial (MFA) está activada para los usuarios con derechos administrativos. Las cuentas con acceso privilegiado son objetivos más vulnerables para los atacantes. Un compromiso de un usuario privilegiado representa un riesgo significativo y, por lo tanto, requiere una protección adicional. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • IOE
Existen más de 5 administradores globales
Comprueba la presencia de cinco o más Administradores Globales. Los administradores globales controlan el entorno de Azure AD y tienen acceso a todas las funciones administrativas y al control total de Azure AD. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • IOE
Se ha creado un nuevo token de API
Comprueba si se ha creado un nuevo token de API en los últimos 7 días. Los tokens de API con privilegios elevados permiten el acceso y las acciones no autorizadas en Okta. Si un atacante obtiene acceso a la contraseña del token, puede aprovecharla para realizar consultas y acciones que pueden llevar a la persistencia y comprometer el entorno. Advertencia
  • MITRE ATT&CK:

    Persistencia

    Escalada de privilegios

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Se ha concedido un nuevo permiso a un grupo
Comprueba si se ha concedido algún permiso a un grupo en los últimos 7 días. Los miembros de un grupo con privilegios elevados pueden realizar acciones importantes en Okta. Por lo tanto, es importante saber qué grupos conceden privilegios elevados. Información
  • MITRE ATT&CK:

    Persistencia

    Escalada de privilegios

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Se ha concedido un nuevo permiso al usuario
Comprueba si se ha concedido algún permiso a un usuario en los últimos 7 días. Los usuarios con privilegios elevados pueden realizar acciones significativas en Okta. Por lo tanto, es importante identificar y supervisar a los usuarios a los que se han concedido privilegios elevados para mitigar el riesgo de acceso no autorizado y el posible uso indebido de datos confidenciales. Información
  • MITRE ATT&CK:

    Persistencia

    Escalada de privilegios

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Se ha concedido un nuevo permiso de superadministrador al usuario
Comprueba si hay usuarios a los que se les hayan concedido permisos de "Super Admin" en los últimos 7 días. Los usuarios con privilegios de "Super Admin" tienen amplios privilegios y control sobre aspectos críticos del entorno de Okta. La concesión no autorizada o excesiva del permiso "Super Admin" puede aumentar significativamente el riesgo de compromiso y acceso no autorizado a Okta. Advertencia
  • MITRE ATT&CK:

    Persistencia

    Escalada de privilegios

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Se han concedido nuevos permisos de superadministrador a un grupo
Comprueba los grupos en los que se han concedido permisos de "Superadministrador" en los últimos 7 días. Los miembros de un grupo con privilegios de "Superadministrador" tienen un amplio acceso y pueden realizar acciones importantes en Okta. Por lo tanto, es importante supervisar de cerca y controlar a qué grupos se les otorgan estos privilegios fuertes para evitar el acceso no autorizado y el compromiso potencial del entorno de Okta. Advertencia
  • MITRE ATT&CK:

    Persistencia

    Escalada de privilegios

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Los usuarios que no son administradores pueden registrar aplicaciones personalizadas
Comprueba si existe una política de autorización que permita a los usuarios no administradores registrar aplicaciones personalizadas. Si se permite a los usuarios que no son administradores registrar aplicaciones empresariales personalizadas, los agresores podrían utilizar esa laguna para registrar aplicaciones maliciosas, que luego podrían aprovechar para obtener permisos adicionales. Advertencia
  • MITRE ATT&CK:

    Persistencia

    Escalada de privilegios

  • IOE
Acceso no predeterminado a la clave DPAPI
Comprueba los controladores de dominio para los principios no predeterminados que tienen permiso para recuperar la clave de copia de seguridad DPAPI del dominio. Con estos permisos, un atacante podría recuperar todos los datos del dominio cifrados mediante DPAPI. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • ANSSI:

    vuln1_permissions_dpapi

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Acceso no predeterminado a la clave raíz de gMSA
Busca principios no predeterminados con permisos para leer el atributo msKds-RootKeyData en la clave raíz de KDS. Los usuarios con permisos de lectura para esta propiedad podrían comprometer todas las cuentas gMSA del bosque. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • ANSSI:

    vuln1_permissions_ gmsa_keys

    vuln2_permissions_ gmsa_keys

  • IOE
  • COI
Los principios no predeterminados con derechos de sincronización de DC en el dominio
Busca responsables de seguridad con permisos de Replicación de cambios en todo o Replicación de cambios en el directorio en el objeto de contexto de nombre de dominio. Los principios de seguridad con estos permisos en el objeto de contexto de nombre de dominio pueden recuperar potencialmente los hash de las contraseñas de los usuarios en un dominio de AD (ataque de DCSync). Crítica
  • MITRE ATT&CK:

    Acceso a las credenciales

  • ANSSI:

    vuln1_permissions_naming_context

  • IOE
Valor no predeterminado en ms-Mcs-AdmPwd SearchFlags
Busca cambios en los searchFlags por defecto en el esquema ms-Mcs-AdmPwd. Algunas banderas pueden provocar inadvertidamente que la contraseña sea visible para usuarios no deseados, lo que permitiría a un atacante utilizarla como una puerta trasera clandestina. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • IOE
  • COI
Usuarios no privilegiados con acceso a las contraseñas de gMSA
Busca principios listados dentro del grupo gMSA que no están en los grupos de administración incorporados. Un atacante que controla el acceso a la cuenta gMSA puede recuperar las contraseñas de los recursos gestionados con gMSA. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • IOE
  • COI
Permisos de esquema no estándar
Busca administradores adicionales con cualquier permiso más allá del genérico de Lectura para las particiones del esquema. Por defecto, los permisos de modificación del esquema están limitados a los administradores del esquema. Estos permisos otorgan a la entidad de confianza un control total sobre Active Directory. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • MITRE D3FEND:

    Endurecer - Permisos de configuración del sistema

  • IOE
  • COI
Usuario de AAD no sincronizado que es elegible para un rol privilegiado
Comprueba si hay usuarios de Azure AD que reúnan los requisitos para un rol de privilegios elevados y tengan el atributo proxyAddress, pero que no estén sincronizados con una cuenta de AD. Un atacante podría utilizar la coincidencia SMTP para sincronizar usuarios AD controlados con usuarios AAD que son elegibles para roles de alto privilegio. Este proceso sobrescribe la contraseña de AAD y podría dar lugar a una escalada de privilegios sobre AAD. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • IOE
Replicación de NTFRS SYSVOL
Busca indicios del uso de FRS para la replicación de SYSVOL. NTFRS es un protocolo antiguo que ha sido sustituido por DFSR. Los atacantes que pueden manipular las vulnerabilidades de NTFRS para comprometer SYSVOL pueden cambiar potencialmente los GPO y los scripts de inicio de sesión para propagar el malware y moverse lateralmente por el entorno. Advertencia
  • MITRE ATT&CK:

    Colección

  • ANSSI:

    vuln2_sysvol_ntfrs

  • IOE
Coincidencia de números activada en MFA
Comprueba si la coincidencia de números está activada en la autenticación MFA de Microsoft. Cuando la coincidencia de números está habilitada en MFA, los usuarios son propensos a ataques de bombardeo MFA. El bombardeo MFA es una táctica en la que un atacante bombardea al usuario con solicitudes MFA y el usuario, sin saberlo o sin quererlo, acepta la solicitud. Advertencia
  • MITRE ATT&CK:

    Acceso inicial

  • IOE
Objetos en grupos protegidos incorporados sin adminCount=1 (SDProp)
Busca objetos en grupos protegidos incorporados cuyo atributo adminCount no esté establecido en 1. Si un objeto dentro de estos grupos tiene un adminCount no igual a 1, podría significar que los DACLs fueron establecidos manualmente (no hay herencia) o que hay un problema con SDProp. Advertencia
  • MITRE ATT&CK:

    Evadir la defensa

    Persistencia

  • IOE
  • COI
Objetos con delegación restringida configurada
Busca cualquier objeto que tenga valores en el atributo msDS-AllowedToDelegateTo (es decir, delegación restringida) y que no tenga establecido el bit UserAccountControl para la transición del protocolo. Los atacantes pueden utilizar las delegaciones para moverse lateralmente o escalar privilegios si comprometen un servicio que es de confianza para delegar. Información
  • MITRE ATT&CK:

    Movimiento lateral

    Escalada de privilegios

  • MITRE D3FEND:

    Detectar - Supervisión de cuentas de dominio

  • IOE
  • COI
Los grupos de operadores ya no están protegidos por AdminSDHolder y SDProp
Comprueba si se ha establecido dwAdminSDExMask en dsHeurstics, lo que indica un cambio en el comportamiento de SDProp que podría comprometer la seguridad. Un cambio en el comportamiento de AdminSDHolder SDProp podría indicar un intento de evadir  la defensa. Advertencia
  • MITRE ATT&CK:

    Evadir la defensa

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Grupos de operadores que no están vacíos
Busca grupos de operadores (Operadores de cuentas, Operadores de servidores, Operadores de copias de seguridad, Operadores de impresión) que contengan miembros. Estos grupos tienen acceso de escritura a los recursos críticos del dominio; los atacantes que son miembros de estos grupos pueden tomar el control indirecto del dominio. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Confianza de bosque saliente con el historial de SID activado
Busca fideicomisos forestales salientes que tengan el indicador TRUST_ATTRIBUTE_TREAT_AS_ EXTERNAL establecido en true. Si este indicador está activado, una confianza entre bosques a un dominio se trata como una confianza externa a efectos del filtrado de SID. Este atributo relaja el filtrado más estricto realizado en las confianzas entre bosques. Advertencia
  • MITRE ATT&CK:

    Movimiento lateral

  • ANSSI:

    vuln1_trusts_forest_sid- historia

  • MITRE D3FEND:

    Harden - Política de confianza del dominio

  • IOE
Comprobación de la política de contraseñas
Evalúa todas las políticas de contraseñas y verifica que se adhieran a las recomendaciones de Okta. Una política de contraseñas sólida es crucial para evitar el acceso no autorizado al entorno mediante ataques de fuerza bruta. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • IOE
Cambios de permisos en el objeto AdminSDHolder
Busca cambios en la lista de control de acceso (ACL) del objeto AdminSDHolder. Podría indicar un intento de modificar los permisos de los objetos privilegiados que están sujetos a AdminSDHolder. Crítica
  • MITRE ATT&CK:

    Evadir la defensa

    Escalada de privilegios

  • ANSSI:

    vuln1_permissions_ adminsdholder

    vuln1_privileged_mem- bers_perm

  • IOE
  • COI
Los usuarios primarios con SPN no admiten el cifrado AES en Kerberos
Muestra todos los usuarios primarios con servicePrincipalNames (SPN) que no admiten el tipo de cifrado AES-128 o AES-256. El cifrado AES es más potente que el cifrado RC4. Configurar los usuarios primarios con SPNs que soportan el cifrado AES no mitigará los ataques como el kerberoasting. Sin embargo, sí fuerza el cifrado AES por defecto, lo que significa que es posible controlar los ataques de downgrade de cifrado a RC4 (ataques de kerberoasting). Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • IOE
Los directores con la delegación de autenticación restringida habilitada para un servicio de DC
Busca equipos y usuarios que tengan activada la delegación restringida para un servicio que se ejecuta en un DC. Si un atacante puede crear una delegación de este tipo, puede autenticarse en ese servicio utilizando cualquier usuario que no esté protegido contra la delegación. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • MITRE D3FEND:

    Detectar - Supervisión de cuentas de dominio

  • IOE
  • COI
Principios con delegación restringida mediante transición de protocolo habilitada para un servicio de CC
Busca equipos y usuarios que tengan una delegación restringida mediante una transición de protocolo definida contra un servicio que se ejecuta en un DC. Si un atacante puede crear una delegación de este tipo para un servicio que puede controlar o comprometer un servicio existente, puede obtener efectivamente un TGS para cualquier usuario con privilegios en el DC. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • ANSSI:

    vuln1_delegación_t2a4d

  • IOE
  • COI
El servicio de cola de impresión está activado en un DC
Busca controladores de dominio que tengan el servicio Print Spooler en ejecución, el cual está habilitado por defecto. Se han encontrado varios fallos críticos en los servicios Print Spooler de Windows, que afectan directamente a los spoolers de impresión instalados en los controladores de dominio, permitiendo la ejecución remota de código. Crítica
  • MITRE ATT&CK:

    Ejecución

    Movimiento lateral

    Escalada de privilegios

  • MITRE D3FEND:



    Endurecer - Actualización de software

  • IOE
Cuentas privilegiadas con una contraseña que nunca caduca
Identifica las cuentas privilegiadas (adminCount = 1) en las que el indicador "La contraseña nunca expira" está activado. Las cuentas de usuario cuyas contraseñas no caducan nunca son objetivos fáciles de adivinar por fuerza bruta. Si estas cuentas son también cuentas administrativas o privilegiadas, esto las convierte en un objetivo mayor. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • ANSSI:

    vuln1_dont_expire_priv

  • MITRE D3FEND:

    Endurecer - Política de contraseñas fuertes

  • IOE
El grupo con privilegios contiene una cuenta de invitado
Comprueba si se han asignado funciones privilegiadas a las cuentas de invitados. Los atacantes externos codician las cuentas privilegiadas, ya que proporcionan una vía rápida a los sistemas más críticos de una organización. Las cuentas de invitados representan una entidad externa que no se somete a la misma seguridad que los usuarios de su inquilino; por lo tanto, asignarles funciones privilegiadas supone un riesgo mayor. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • IOE
Objetos privilegiados con propietarios no privilegiados
Busca objetos privilegiados (adminCount =1) que sean propiedad de una cuenta sin privilegios. Cualquier compromiso de una cuenta sin privilegios podría provocar la modificación de la delegación de un objeto privilegiado. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • ANSSI:

    vuln1_permissions_ adminsdholder

  • IOE
Las credenciales de los usuarios con privilegios se almacenan en caché en el RODC
Busca usuarios privilegiados con credenciales que se almacenan en caché en los RODC. Aunque no es un indicio inmediato de un ataque, las cuentas de usuarios con privilegios son sensibles y no deberían almacenarse en caché en los RODC, ya que su seguridad física no es tan sólida como la de un DC completo. Información
  • MITRE ATT&CK:

    Movimiento lateral

    Escalada de privilegios

  • IOE
Usuarios con privilegios desactivados
Busca cuentas de usuario con privilegios que estén deshabilitadas. Si una cuenta privilegiada está deshabilitada, debe ser eliminada de su(s) grupo(s) privilegiado(s) para evitar un mal uso accidental. Información
  • MITRE ATT&CK:

    Escalada de privilegios

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Usuarios con privilegios con ServicePrincipalNames definidos
Busca cuentas con el atributo adminCount establecido en 1 Y ServicePrincipalNames (SPN) definidos en la cuenta. Las cuentas con privilegios que tienen un SPN definido son objetivos de ataques basados en Kerberos que pueden elevar los privilegios a esas cuentas. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • ANSSI:

    vuln1_spn_priv

  • IOE
  • COI
Usuarios con privilegios con una política de contraseñas débil
Busca usuarios privilegiados en cada dominio que no tengan una política de contraseñas fuerte aplicada, según el marco ANSSI. Comprueba tanto la política de contraseñas de precisión (FGPP) como la política de contraseñas aplicada al dominio. Una contraseña segura definida por ANSSI tiene al menos ocho caracteres y se actualiza como máximo cada tres años. Las contraseñas débiles son más fáciles de descifrar mediante ataques de fuerza bruta y pueden proporcionar a los atacantes oportunidades para moverse lateralmente o escalar privilegios. El riesgo es aún mayor en el caso de las cuentas con privilegios, ya que cuando se ven comprometidas mejoran las posibilidades del atacante de avanzar rápidamente dentro de la red. Crítica
  • MITRE ATT&CK:

    Descubrimiento

  • ANSSI:

    vuln2_privileged_mem- bers_password

  • MITRE D3FEND:

    Endurecer - Política de contraseñas fuertes

  • IOE
  • COI
El grupo de usuarios protegidos no está en uso
Detecta cuando los usuarios con privilegios no son miembros del grupo de Usuarios Protegidos. El grupo de usuarios protegidos proporciona a los usuarios con privilegios una protección adicional frente a los ataques directos de robo de credenciales. Información
  • MITRE ATT&CK:

    Acceso a las credenciales

  • ANSSI:

    vuln3_protected_users

  • IOE
Los controladores de dominio admiten el tipo de cifrado RC4 o DES
Comprueba si el cifrado RC4 o DES es compatible con los controladores de dominio. RC4 y DES se consideran una forma insegura de encriptación, susceptible a varios ataques criptográficos. Múltiples vulnerabilidades en el algoritmo RC4 o DES permiten ataques MITM (Man-in-the-Middle) y de descifrado. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • IOE
Actividad reciente de creación de cuentas privilegiadas
Busca usuarios o grupos privilegiados (adminCount = 1) que se hayan creado recientemente. Permite detectar cuentas y grupos privilegiados que se hayan creado sin conocimiento previo. Informativo Información
  • MITRE ATT&CK:

    Persistencia

  • MITRE D3FEND:

    Detectar - Supervisión de cuentas de dominio

  • IOE
  • COI
Cambios recientes de sIDHistory en los objetos
Detecta cualquier cambio reciente en el sIDHistory de los objetos, incluyendo los cambios en las cuentas no privilegiadas donde se añaden SIDs privilegiados. Los atacantes necesitan acceso privilegiado a AD para poder escribir en sIDHistory, pero si existen tales derechos, entonces escribir SIDs privilegiados en cuentas de usuarios regulares es una forma sigilosa de crear cuentas de puerta trasera. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • IOE
  • COI
Delegación restringida basada en recursos aplicada a la cuenta AZUREADSSOACC
Busca la Delegación Restringida Basada en Recursos configurada para la cuenta Azure SSO, AZUREADSSOACC. Una cuenta con Delegación Restringida Basada en Recursos permitiría a esa entidad de seguridad generar una solicitud de Servicio de Concesión de Tickets (TGS) al inquilino de Azure en nombre de la cuenta AZUREADSSOACC como cualquier usuario y suplantar a ese usuario. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Movimiento lateral

  • IOE
Contraseñas reversibles encontradas en GPOs
Busca en el SYSVOL las GPO que contienen contraseñas que pueden ser fácilmente descifradas por un atacante (las llamadas entradas "Cpassword"). Esta área es una de las primeras cosas que los atacantes buscan cuando han obtenido acceso a un entorno AD. Crítica
  • MITRE ATT&CK:

    Acceso a las credenciales

  • MITRE D3FEND:

    Detectar - Análisis de archivos emulados

  • IOE
Riesgo de almacenamiento en caché de credenciales RODC
Busca una política de replicación de contraseñas que permita objetos privilegiados. Si los usuarios con privilegios están en la lista de permitidos, pueden estar expuestos al robo de credenciales en un RODC. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • ANSSI:

    vuln2_rodc_priv_ revelado

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Los valores predeterminados de seguridad no están activados
Cuando no hay políticas de acceso condicional configuradas, este indicador comprueba si los valores predeterminados de seguridad están habilitados. Se recomienda utilizar los valores predeterminados de seguridad para los inquilinos que no tienen políticas de acceso condicional configuradas. Los valores predeterminados de seguridad requerirán MFA, bloquearán la autenticación heredada y requerirán autenticación adicional al acceder al portal de Azure, Azure PowerShell y la CLI de Azure. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Acceso inicial

  • IOE
Credenciales en la sombra en objetos privilegiados
Busca usuarios con acceso de escritura al atributo msDS-KeyCredentialLink de usuarios privilegiados y controladores de dominio. Los usuarios que pueden escribir en estos objetos privilegiados y Kerberos PKINIT está activado pueden elevar privilegios a estos objetos. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Movimiento lateral

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
SMBv1 está activado en los controladores de dominio
Busca los controladores de dominio en los que el protocolo SMBv1 está habilitado. SMBv1 es un protocolo antiguo (desaprobado por Microsoft en 2014), que se considera inseguro y susceptible de sufrir todo tipo de ataques. Crítica
  • MITRE ATT&CK:

    Acceso a las credenciales

    Escalada de privilegios

  • IOE
Cuenta de ordenador SSO con contraseña establecida por última vez hace más de 90 días
Comprueba la cuenta de equipo Azure SSO (AZUREADSSOACC) para determinar si la contraseña se ha rotado en los últimos 90 días. La contraseña de la cuenta de equipo Azure SSO no se cambia automáticamente cada 30 días. Si la contraseña de esta cuenta se ve comprometida, un atacante podría generar una solicitud Ticket Granting Service (TGS) a la cuenta AZUREADSSOACC como cualquier usuario, lo que tiene el efecto de generar un ticket a Azure y hacerse pasar por ese usuario. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • ANSSI:

    vuln2_contraseña_cambio_servidor_no_cambio_90

  • IOE
Cambios en el ejecutable SYSVOL
Busca modificaciones en los archivos ejecutables dentro de SYSVOL. Los cambios en los archivos ejecutables dentro de SYSVOL deben ser contabilizados o investigados para buscar un potencial debilitamiento de la postura de seguridad. Advertencia
  • MITRE ATT&CK:

    Persistencia de la ejecución

    Escalada de privilegios

  • MITRE D3FEND:

    Detectar - Análisis de archivos

  • IOE
  • COI
Cuentas de confianza con contraseñas antiguas
Busca cuentas de confianza cuya contraseña no haya cambiado en el último año. Las cuentas de confianza facilitan la autenticación entre las confianzas y deben ser protegidas como las cuentas de usuarios privilegiados. Normalmente, las contraseñas de las cuentas de confianza se rotan automáticamente, por lo que una cuenta de confianza sin un cambio de contraseña reciente podría indicar una cuenta de confianza huérfana. Información
  • MITRE ATT&CK:

    Acceso inicial

  • ANSSI:

    vuln2_trusts_accounts

  • MITRE D3FEND:

    Endurecer - Política de contraseñas fuertes

  • IOE
Principios sin privilegios como administradores de DNS
Busca cualquier miembro del grupo DNS Admins que no sea un usuario con privilegios. Los miembros de este grupo pueden ser delegados a administradores que no son de AD (por ejemplo, administradores con responsabilidades de red, como DNS, DHCP, etc.), lo que puede hacer que estas cuentas sean objetivos principales de compromiso. Advertencia
  • MITRE ATT&CK:

    Ejecución

  • ANSSI:

    vuln1_dnsadmins

    vuln1_permissions_msdn

  • IOE
Los usuarios sin privilegios pueden añadir cuentas de ordenador al dominio
Comprueba si los miembros del dominio sin privilegios pueden añadir cuentas de equipo a un dominio. La posibilidad de añadir cuentas de equipo a un dominio puede ser objeto de ataques basados en Kerberos. Información
  • MITRE ATT&CK:

    Acceso a las credenciales

    Movimiento lateral

  • IOE
Cuentas no protegidas con adminCount=1
Busca cualquier usuario o grupo que pueda estar bajo el control de SDProp (adminCount=1) pero que ya no sea miembro de grupos privilegiados. Podría ser la evidencia de que un atacante  intentó cubrir sus huellas y eliminar un usuario que utilizó para comprometer el sistema. Información
  • MITRE ATT&CK:

    Escalada de privilegios

  • IOE
  • COI
Se permite el consentimiento del usuario sin restricciones
Comprueba si se permite a los usuarios añadir aplicaciones de editores no verificados. Cuando se permite a los usuarios consentir cualquier aplicación de terceros, existe un riesgo considerable de que una aplicación permitida realice acciones intrusivas o arriesgadas. Advertencia
  • MITRE ATT&CK:

    Movimiento lateral

    Persistencia

  • IOE
Configuración de DNS no segura
Busca zonas DNS configuradas con ZONE_UPDATE_UNSECURE, que permite actualizar un registro DSN de forma anónima. Un atacante podría aprovechar esta vulnerabilidad para añadir un nuevo registro DSN o reemplazar un registro DNS existente para falsificar una interfaz de gestión, y luego esperar las conexiones entrantes para robar credenciales. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • ANSSI:

    vuln1_dnszone_bad_ prop

  • IOE
Cuentas de usuario que almacenan contraseñas con cifrado reversible
Identifica las cuentas con el indicador "ENCRYPTED_TEXT_PWD_ALLOWED" habilitado. Los atacantes pueden ser capaces de obtener las contraseñas de estos usuarios a partir del texto cifrado y tomar el control de estas cuentas. Información
  • MITRE ATT&CK:

    Acceso a las credenciales

  • ANSSI:

    vuln3_reversible_password

  • MITRE D3FEND:

    Endurecer - Política de contraseñas fuertes

  • IOE
Cuentas de usuario que utilizan el cifrado DES
Identifica las cuentas de usuario con el indicador "Usar tipos de cifrado Kerberos DES para esta cuenta". Los atacantes pueden descifrar fácilmente las contraseñas DES utilizando herramientas ampliamente disponibles, lo que hace que estas cuentas estén listas para ser controladas. Información
  • MITRE ATT&CK:

    Acceso a las credenciales

  • ANSSI:

    vuln2_kerberos_properties_deskey

  • IOE
Cuentas de usuario con contraseña no requerida
Identifica las cuentas de usuario en las que no se requiere una contraseña. Las cuentas con controles de acceso débiles son a menudo el objetivo para que puedan moverse lateralmente o ganar una  posición persistente en el entorno. Información
  • MITRE ATT&CK:

    Movimiento lateral

  • MITRE D3FEND:

    Endurecer - Política de contraseñas fuertes

  • IOE
Activación del usuario en los últimos 7 días
Comprueba si hay usuarios activados en los últimos 7 días. Los usuarios activados tienen la capacidad de autenticarse y realizar acciones dentro del entorno de Okta. Por lo tanto, es importante supervisar y verificar el estado de activación de los usuarios para garantizar que solo las personas autorizadas tengan acceso. Información
  • MITRE ATT&CK:

    Persistencia

  • MITRE D3FEND:

    Endurecer - Permisos de la cuenta de usuario

  • IOE
Desactivación de usuarios en los últimos 7 días
Comprueba si hay usuarios desactivados en los últimos 7 días. Los usuarios desactivados ya no tienen la capacidad de autenticarse y realizar acciones dentro del entorno de Okta. Sin embargo, un atacante puede desactivar intencionalmente a un usuario para interrumpir el funcionamiento del entorno u ocultar sus actividades. Es importante supervisar y verificar el estado de desactivación de los usuarios para asegurarse de que se alinea con los controles de acceso previstos. Información
  • IOE
Usuarios y ordenadores con IDs de grupos primarios no predeterminados
Devuelve una lista de todos los usuarios y equipos cuyos ID de grupo primario (PGID) no son los predeterminados para los usuarios y equipos del dominio. La modificación del ID de grupo primario es una forma sigilosa para que un atacante escale privilegios sin activar la auditoría de atributos de miembros para los cambios de pertenencia al grupo. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • ANSSI:

    vuln1_primary_group_ id_1000

    vuln3_primary_group_ id_nochange

  • IOE
  • COI
Usuarios y ordenadores sin PGID legibles
Encuentra usuarios y equipos que no pueden leer el ID de grupo primario (PGID). Puede ser causado por la eliminación del permiso de lectura por defecto, lo que podría indicar un intento de ocultar al usuario (en combinación con la eliminación del atributo memberOf). Advertencia
  • MITRE ATT&CK:

    Evadir la defensa

  • IOE
  • COI
Usuarios o dispositivos inactivos durante al menos 90 días
Comprueba si hay usuarios o dispositivos que no hayan iniciado sesión durante los últimos 90 días. Es probable que los usuarios o dispositivos que han estado inactivos durante 90 días o más ya no estén en uso y dejen una puerta abierta al inquilino de Azure AD. Advertencia
  • MITRE ATT&CK:

    Persistencia

    Escalada de privilegios

  • IOE
Usuarios con la preautenticación Kerberos desactivada
Busca usuarios con la preautenticación Kerberos desactivada. Estos usuarios pueden ser objetivo de ataques ASREP-Roasting (como "Kerberoasting"). Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • ANSSI:

    vuln1_kerberos_prop- erties_preauth_priv

    vuln2_kerberos_prop- erties_preauth

  • IOE
Usuarios con contraseñas antiguas
Busca cuentas de usuario cuya contraseña no haya sido cambiada después de 180 días. Estas cuentas podrían ser objeto de ataques para adivinar la contraseña. Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

    Persistencia

  • MITRE D3FEND:

    Endurecer - Política de contraseñas fuertes

  • IOE
Usuarios con el indicador "La contraseña no caduca" activado
Identifica las cuentas de usuario en las que el indicador "La contraseña no caduca nunca" está activado. Estas cuentas pueden ser objetivos potenciales de ataques de fuerza bruta a las contraseñas. Información
  • MITRE ATT&CK:

    Acceso a las credenciales

  • ANSSI:

    vuln2_dont_expire

  • IOE
Usuarios con permisos para establecer la cuenta de confianza del servidor
Comprueba los permisos del controlador de dominio NC para ver si el indicador Server_Trust_Account está establecido en los objetos del equipo. Un atacante que pueda sembrar usuarios autenticados con estos permisos puede utilizar su acceso para promover cualquier equipo que controle al estado de Controlador de Dominio, permitiendo la escalada de privilegios a los servicios de AD y llevando a cabo ataques de acceso a credenciales como DCSync. Crítica
  • MITRE ATT&CK:

    Escalada de privilegios

  • IOE
Usuarios con ServicePrincipalName definido
Proporciona una forma de inventariar visualmente todas las cuentas de usuario que tienen definidos ServicePrincipalNames (SPN). Generalmente, los SPN solo se definen para servicios "Kerberizados"; otras cuentas con un SPN pueden ser motivo de preocupación. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • MITRE D3FEND:

    Detectar - Supervisión de cuentas de dominio

  • IOE
  • COI
Usuarios sin autenticación multifactor (AMF)
Comprueba todos los usuarios para identificar a aquellos que no se han registrado para la autenticación multifactor (MFA). Los usuarios que no están configurados con MFA corren un alto riesgo de verse comprometidos. Esto supone una amenaza significativa no sólo para el usuario, sino también para todo el entorno. Advertencia
  • MITRE ATT&CK:

    Acceso inicial

  • IOE
Encriptación débil de los certificados
Busca certificados almacenados en Active Directory con un tamaño de clave inferior a 2048 bits o que utilicen cifrado DSA. Los atacantes pueden abusar de los certificados débiles para acceder a los sistemas que utilizan autenticación por certificado. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • ANSSI:

    vuln1_certificados_vuln

  • MITRE D3FEND:

    Endurecer - Autenticación basada en certificados

  • IOE
SID privilegiados conocidos en sIDHistory
Busca principios de seguridad que contengan SIDs específicos de cuentas de grupos privilegiados incorporados dentro del atributo sIDHistory. Permite que esos principios de seguridad tengan los mismos privilegios que esas cuentas privilegiadas, pero de una manera que no sea obvia para la monitorización (por ejemplo, a través de la pertenencia a un grupo). Advertencia
  • MITRE ATT&CK:

    Evadir la defensa

    Escalada de privilegios

  • ANSSI:

    vuln2_sidhistory_dan- gerous vuln3_sidhistory_present

  • IOE
  • COI
Acceso de escritura a RBCD en DC
Busca usuarios que no estén en los grupos de administradores de dominio, administradores de empresa o administradores incorporados que tengan acceso de escritura en la delegación restringida basada en recursos (RBCD) para los controladores de dominio. Los atacantes que pueden obtener acceso de escritura a RBCD para un recurso pueden hacer que el recurso se haga pasar por cualquier usuario (excepto cuando la delegación está explícitamente desautorizada). Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • IOE
Acceso de escritura a RBCD en la cuenta krbtgt
Busca usuarios que no estén en los grupos Domain Admins, Enterprise Admins o Built-in Admins que tengan acceso de escritura en Resource-Based Constrained Delegation (RBCD) para la cuenta krbtgt. Los atacantes que pueden obtener acceso de escritura a RBCD para un recurso pueden hacer que el recurso se haga pasar por cualquier usuario (excepto cuando la delegación está explícitamente desautorizada). Advertencia
  • MITRE ATT&CK:

    Acceso a las credenciales

  • IOE
Vulnerabilidad de Zerologon
Busca la vulnerabilidad de seguridad CVE-2020-1472, que fue parcheada por Microsoft en agosto de 2020. Sin este parche, un atacante no autentificado puede explotar CVE-2020-1472 para elevar sus privilegios y obtener acceso administrativo en el dominio. Advertencia
  • MITRE ATT&CK:

    Escalada de privilegios

  • IOE

Indicadores de seguridad actualizados regularmente por nuestro equipo de investigación de amenazas

Purple Knight escanea su entorno Active Directory en busca de más de 150 indicadores de seguridad de exposición o compromiso -incluidas configuraciones de riesgo y vulnerabilidades no parcheadas- que podrían conducir a un ataque.

¿Quién está detrás de la investigación?

Dirigido por el CTO y MVP de Microsoft Guy Teverovsky, nuestro equipo de expertos en investigación estudia continuamente cómo los ciberdelincuentes buscan atacar el AD y desarrolla indicadores para descubrir los puntos débiles de su AD antes de que lo hagan los atacantes.

Más de 100 años

experiencia combinada con Microsoft

¿Qué dicen los usuarios de Purple Knight ?

 

Purple Knight es una poderosa herramienta con un conjunto de scripts muy bien empaquetados que hace un fantástico trabajo mostrando algunos de los aspectos ocultos de su AD que están esperando ser descubiertos por la persona equivocada.Patrick Emerick Ingeniero de Sistemas Senior | Bethel School District
Recomiendo Purple Knight por su facilidad de uso: está basado en una interfaz gráfica de usuario, te da un informe rápido y te ofrece una buena y sencilla lista de cosas en las que empezar a trabajar. Jim Shakespear Director de Seguridad Informática | Southern Utah University
Purple Knight es la primera herramienta que he utilizado que profundiza tanto en Active Directory. Funciona tan bien que no necesité encontrar nada más.Micah Clark Gerente de TI | Central Utah Emergency Communications
El informe de Purple Knight nos ayudó a tomar medidas de inmediato, como cerrar o deshabilitar cuentas de Active Directory que no debían estar habilitadas. Después nos ayudó a desarrollar un plan de mantenimiento a largo plazo.CISO Empresa de fabricación canadiense