Protección frente a elevación de privilegios en red
Tabla de contenidos
La aplicación de controles de seguridad perimetrales en cada capa de una infraestructura y medidas de hardening en los sistemas permite limitar el movimiento lateral de un intruso en la red, incluso cuando este se ha producido mediante la explotación de una vulnerabilidad 0day.
Controlar completamente la seguridad de la red es una tarea tediosa que requiere un número significativo de recursos y modificar la forma en la que los administradores y operadores de red interactúan con los sistemas. La definición de qué medidas de seguridad debe ser complementada con el análisis, de forma continuada, del correcto funcionamiento de los elementos de seguridad y de las capacidades de detección.
A grandes rasgos este artículo identifica algunas estrategias de protección frente a intrusiones y de prevención de desplazamiento lateral en entornos windows. Se debe asumir que la erradicación completa de la elevación de privilegios en red no es posible y por tanto es necesario centrarse en medidas de protección y de monitorización:
Segregación de funciones de usuarios y del personal de IT.
Acciones que deben llevar a cabo los administradores de sistemas para proteger los sistemas informáticos de la compañía y evitar la elevación de privilegios entre roles y sistemas:
- Separación de roles 1: La cuenta de usuario para actividades cotidianas será distinta que las de labores de administración (Ej: DOMAIN\luser y DOMAIN\adm.luser). La cuenta de administrador no tendrá buzón de correo, permisos de navegación.
- Separación de roles 2: Las labores de administración estarán compartimentalizadas, de tal forma un único administrador no debe tener acceso a la plataforma, el almacenamiento y backups al mismo tiempo. También se pueden usar estrategias de aislamiento en base a distribución geográfica.
- Separación de entornos: Las cuentas de administradores no deberán loguearse en los mismos escritorios donde se utiliza la navegación y el correo. Por tanto deberán utilizarse «máquinas de salto» dedicadas y aisladas para las labores de administración.
- Aislamiento vlan de administración: Los equipos de escritorio no deben tener conectividad directa con los servidores y dmz. Sólo deben alcanzar a las «máquinas de salto» situadas en la vlan de administración serán estas las que puedan conectar a los servidores. Deberán crearse las máquinas de salto necesarias para compartimentalizar la administración en distintos segmentos.
- Principio del mínimo privilegio para cuentas de servicio: Las cuentas de servicio deberán poder iniciar sesión únicamente en el parque de servidores destinado a ese servicio. Se establecerán las medidas de monitorización que alerten cuando estas son usadas desde / hacia otras ubicaciones o cuando el tipo de inicio de sesión no coincide con el esperado.
- Utilización de herramientas de monitorización hostids o EDR, seguridad endpoints y elementos de red para la detección de patrones de escalada de privilegios y explotación hacia otros sistemas.
El uso de máquinas virtuales para llevar a cabo las tareas no privilegiadas, como la navegación, es una buena práctica de seguridad.
Bloqueos y controles de seguridad a nivel de red
Acciones a nivel de red con las que bloquear tráfico malicioso.
- Segmentación: Segmentar la red en vlanes y aplicar reglas de filtrado a nivel de red y de puestos de trabajo y servidores, limitando por ejemplo las conexiones RDP y SMB.
- Servicios de reputación IP: Bloquear trafico de navegación a TOR o a sistemas no clasificados. Se puede hace uso de servicios gratutitos como https://check.torproject.org/cgi-bin/TorBulkExitList.py o https://www.dan.me.uk/torlist/, así como de feeds comerciales que identifiquen VPNS o IPs de dudosa reputación.
- Bloqueo de tráfico a internet: Los sistemas internos (tanto servidores como puestos de trabajo) no deberían tener acceso directo a internet. El tráfico DNS, HTTP y HTTPs debe estar restringido al proxy de navegación, que incluya ACLs restrictivas.
- Estudio de de rutas de compromiso: Realización de tests de intrusión periódicos o de ejercicios de red team para descubrir rutas de compromiso y mejorar los procedimientos de respuesta ante incidentes.
- Monitorizar accesos remotos: Monitorizar y controlar las conexiones VPN, Citrix, RDP o VDI entrantes. Es recomendable agregar doble factor de autenticación a todos los grupos autorizados para establecer conexiones remotas y notificar al usuario de la conexión.
Medidas de seguridad a nivel de sistemas:
Acciones que se pueden llevar a cabo para lograr la protección del puesto de trabajo.
- Firewall del sistema operativo: Bloqueo de tráfico y comunicaciones a servicios de SMB , tanto a nivel de firewall como de aislamiento de estaciones de trabajo dentro de su mismo segmento de red.
- Actualizaciones de seguridad: Controlar de forma centralizada las actualizaciones de seguridad de estaciones de trabajo y servidores haciendo uso de soluciones de control de actualizaciones como WSUS.
- Contraseñas: La gestión de contraseñas es otro de esos aspectos que puede suponer un artículo en mismo. A grandes rasgos, no permitir la compartición de contraseñas de administrador local ni de usuarios administrativos entre grupos de servidores y de estaciones de trabajo. Además, las directivas de contraseñas deben evitar patrones predecibles (meses, años, nombre de la empresa). Esto se puede complementar con el reseteo periódico de tickets de kerberos para prevenir ataques de persistencia.
- Bloqueos de ejecución: Bloqueo de herramientas de volcado de contraseñas de memoria(como la protección LSA Protection frente a mimikatz, que se activa con el valor RunAsPPL”=dword:00000001mimikatz en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ) mediante políticas de dominio (GPO) y con bloqueo de ejecución de software (applocker).
- Hardening: La creación y mantenimiento de guías de bastionado para garantizar cifrado de comunicaciones, protecciones frente a ataques de main in the middle es fundamental.
En el caso puntual de un servidor de ficheros, se pueden prevenir las acciones maliciosas llevas a cabo por un ransomware o por un atacante y definir una estrategia de prevención en servidores de ficheros con la implantación de FSRM. FSRM es un ROL de los servidores de ficheros de microsoft que permite definir acciones y ejecutar scripts frente la escritura de ciertos tipos de ficheros. algunas referencias:
– https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce
– https://community.spiceworks.com/how_to/128744-prevent-ransomware-byusing-fsrm
– https://blog.netwrix.com/2016/04/11/ransomware-protection-using-fsrm-andpowershell/
Conclusiones finales para controlar la elevación de privilegios.
Es necesario aplicar medidas de hardening y analizar el correcto funcionamiento de los elementos de seguridad sin olvidar estrategias que han dado muy buen resultado en el pasado como :
- Creación de «honeypots» en estaciones de trabajo, así como monitorización de ficheros para detectar movimientos laterales y gente husmeando en recursos internos. Se puede complementar con campañas de deception y contrainteligencia más avanzadas como las que diseña CounterCraft.
- Ejecución de herramientas para la detección de indicadores de compromiso (IOCs) y búsqueda de actividad anómala en elementos de monitorización (SIEM,..)
Una buena forma de comenzar incrementando la seguridad es realizando ejercicios de red team, para ayudar a determinar cuales son las debilidades que serían aprovechadas en un ataque real, logrando una mejor protección e indicadores claros de la evolución de la seguridad.
Descubre nuestro trabajo y nuestros servicios de ciberseguridad en www.tarlogic.com/es/