Las organizaciones suelen implementar la autenticación multifactor (MFA) y asumen que las contraseñas robadas ya no son suficientes para acceder a los sistemas. En los entornos Windows, esa suposición suele ser errónea. Los atacantes siguen comprometiendo las redes todos los días con credenciales válidas. El problema no es la MFA en sí misma, sino la cobertura.

Aplicado a través de un proveedor de identidad (IdP) como Microsoft Entra ID, Okta o Google Workspace, La MFA funciona bien para aplicaciones en la nube e inicios de sesión federados. Sin embargo, muchos inicios de sesión en Windows se basan únicamente en las rutas de autenticación de Active Directory (AD), que nunca activan las solicitudes de MFA. Para reducir los riesgos relacionados con las credenciales, los equipos de seguridad deben saber dónde se produce la autenticación de Windows fuera de su pila de identidades.

Siete rutas de autenticación de Windows en las que confían los atacantes

1. Inicio de sesión interactivo en Windows (local o unido a un dominio)

Cuando un usuario inicia sesión directamente en una estación de trabajo o servidor Windows, la autenticación normalmente la gestiona AD (mediante Kerberos o NTLM), no un IdP en la nube.

En entornos híbridos , incluso si Entra ID aplica la MFA para las aplicaciones en la nube, los inicios de sesión tradicionales de Windows en los sistemas unidos a un dominio se validan mediante controladores de dominio locales. A menos que se implemente Windows Hello for Business, tarjetas inteligentes u otro mecanismo de MFA integrado, no hay ningún factor adicional en ese flujo.

Si un atacante obtiene la contraseña de un usuario (o un hash NTLM), puede autenticarse en una máquina unida a un dominio sin activar las políticas de MFA que protegen las aplicaciones de software como servicio o el inicio de sesión único federado. Desde el punto de vista del controlador de dominio, se trata de una solicitud de autenticación estándar.

Herramientas como Acceso seguro a Specops son clave para limitar el riesgo de abuso de credenciales en estos escenarios. Al aplicar la MFA para el inicio de sesión de Windows, así como para las conexiones VPN y del Protocolo de escritorio remoto (RDP), esta herramienta dificulta que los atacantes obtengan acceso no autorizado a la red. Esto se extiende incluso a los inicios de sesión sin conexión, que se protegen mediante una autenticación con código de acceso de un solo uso.

Acceso seguro a Specops

2. Acceso RDP directo que evita el acceso condicional

RDP es uno de los métodos de acceso más específicos en entornos Windows. Incluso cuando el RDP no está expuesto a Internet, los atacantes suelen acceder a él a través de movimiento lateral tras un compromiso inicial. Una sesión RDP directa a un servidor no pasa automáticamente por los controles de MFA basados en la nube, lo que significa que el inicio de sesión puede basarse únicamente en la credencial de AD subyacente.

3. Autenticación NTLM

NTLM es un protocolo de autenticación heredado que, a pesar de estar en desuso en favor del protocolo Kerberos, que es más seguro, sigue existiendo por motivos de compatibilidad. También es un vector de ataque común porque admite técnicas como pass-the-hash.

En los ataques de pass-the-hash, el atacante no necesita la contraseña en texto plano; en su lugar, utiliza el hash NTLM para autenticarse. MFA no ayuda si el sistema acepta el hash como prueba de identidad.

El NTLM también puede aparecer en los flujos de autenticación internos que es posible que las organizaciones no supervisen activamente; solo un incidente o una auditoría lo revelarán a los equipos de seguridad.

4. Abuso de tickets de Kerberos

Kerberos es el protocolo de autenticación principal de AD. En lugar de robar contraseñas directamente, los atacantes roban tickets de Kerberos de memoria o generar tickets falsificados tras comprometer cuentas privilegiadas. Esto permite utilizar técnicas como:

  • Pase el billete
  • Billete dorado
  • Billete plateado

Estos ataques permiten el acceso y el movimiento lateral a largo plazo y también reducen la necesidad de iniciar sesión repetidamente, lo que reduce las posibilidades de detección. Estos ataques pueden persistir incluso después de restablecer la contraseña si no se aborda por completo el problema subyacente.

5. Cuentas de administrador local y reutilización de credenciales

Las organizaciones siguen dependiendo de las cuentas de administrador locales para las tareas de soporte y la recuperación del sistema. Si las contraseñas de los administradores locales se reutilizan en todos los terminales, los atacantes pueden escalar un compromiso para un acceso amplio.

Las cuentas de administrador local suelen autenticarse directamente en el punto final sin pasar por completo los controles de MFA. Las políticas de acceso condicional de Entra ID no se aplican. Esta es una de las razones por las que el dumping de credenciales sigue siendo tan eficaz en los entornos Windows.

6. Autenticación y movimiento lateral del bloque de mensajes del servidor (SMB)

SMB se usa para compartir archivos y acceder remotamente a los recursos de Windows. También es una de las rutas de movimiento lateral más confiables una vez que el atacante tiene credenciales válidas. Los atacantes suelen utilizar SMB para acceder a recursos compartidos administrativos, como C$, o para interactuar con los sistemas de forma remota mediante credenciales válidas.

Si la autenticación SMB se trata como tráfico interno, la MFA rara vez se aplica en esta capa. Si el atacante tiene credenciales válidas, puede usar SMB para moverse rápidamente de un sistema a otro.

7. Cuentas de servicio que nunca activan la MFA

Cuentas de servicio existen para ejecutar tareas programadas, aplicaciones, integraciones y servicios del sistema. Suelen tener credenciales estables, permisos amplios y una vida útil prolongada.

En muchas organizaciones, las contraseñas de las cuentas de servicio no caducan y rara vez se supervisan. También son difíciles de proteger con la autenticación multifactor porque la autenticación es automática. Con frecuencia, estas cuentas se utilizan en aplicaciones antiguas que no admiten los controles de autenticación modernos.

Esta es una de las razones por las que los atacantes atacan credenciales del servicio de asistencia y acceso de administrador de terminales desde el principio de una intrusión.

Cómo cerrar las brechas de autenticación de Windows

Los equipos de seguridad deben tratar la autenticación de Windows como su propia superficie de seguridad. Hay varias medidas prácticas que los equipos de seguridad pueden tomar para reducir la exposición:

1. Implemente políticas de contraseñas más sólidas en AD

Se debe aplicar una política de contraseñas segura contraseñas más largas de 15 o más caracteres. Las contraseñas son más fáciles de recordar para los usuarios y más difíciles de descifrar para los atacantes. Las políticas sólidas también deberían impedir la reutilización de las contraseñas y bloquear los patrones débiles que los atacantes puedan adivinar.

2. Bloquee las contraseñas comprometidas de forma continua

El robo de credenciales no siempre es el resultado de ataques de fuerza bruta. Ya hay miles de millones de contraseñas disponibles en conjuntos de datos sobre violaciones para que los atacantes las reutilicen ataques de credenciales . El bloqueo de las contraseñas comprometidas en el momento de su creación reduce la posibilidad de que los usuarios establezcan las credenciales que los atacantes ya tienen.

3. Reduzca la exposición a los protocolos de autenticación antiguos

Siempre que sea posible, las organizaciones deben restringir o eliminar la autenticación NTLM. Los equipos de seguridad deben fijarse el objetivo de comprender dónde existe el NTLM, reducirlo siempre que sea posible y reforzar los controles cuando no se pueda eliminar.

4. Audite las cuentas de servicio y reduzca la acumulación de privilegios

Trate las cuentas de servicio como identidades de alto riesgo. Las organizaciones deben inventariarlas, reducirlas privilegios innecesarios , rote las credenciales y elimine las cuentas que ya no se necesitan. Si una cuenta de servicio tiene permisos a nivel de dominio, la organización debe suponer que será el objetivo.

Cómo puede ayudar Specops

Las políticas de contraseñas sólidas y las comprobaciones proactivas de las credenciales comprometidas conocidas son dos de las formas más eficaces de reducir el riesgo de ataques basados en credenciales. Política de contraseñas de Specops ayuda al aplicar controles de contraseña flexibles que van más allá de lo que está disponible de forma nativa en Microsoft.

Política de contraseñas de Specops

Es Protección por contraseña violada Esta función comprueba continuamente las contraseñas de Active Directory comparándolas con una base de datos de más de 5.400 millones de credenciales expuestas, y lo alerta rápidamente si se descubre que una contraseña de usuario está en riesgo. Si está interesado en saber cómo Specops puede ayudar a su organización, hable con un experto o reserve una demostración para ver nuestras soluciones en acción.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.