Pentesting de
Directorio Activo
10.230.240.241
#1
� Ingeniería de Seguridad
Pentesting Active Directory
INDICE
2. Informe Ejecutivo ____________________________________________________ 3
2.1. Objetivo ______________________________________________________________ 3
2.2. Ubicación _____________________________________________________________ 3
2.3. Metodología __________________________________________________________ 3
2.4. Consideraciones del Alcance ______________________________________________ 3
2.5. Valoración de las Vulnerabilidades ________________________________________ 4
3. Resumen del Pentest _________________________________________________ 4
4. Resumen de vulnerabilidades __________________________________________ 5
4.1. Detalle técnico de la revisión de vulnerabilidades. ________________________ 5
Conclusiones y recomendaciones finales ____________________________________ 12
Índice de Ilustraciones
Ilustración 1Cuentas con permisos de “Administradores de Dominio” .......................................... 6
Ilustración 2 Grupos de Domain Admins .......................................................................................... 7
Ilustración 3 No es posible el login anonymous................................................................................ 7
Ilustración 4 Politicas de Contraseñas .............................................................................................. 7
Ilustración 5 Acceso a través de SMB a carpetas compartidas ......................................................... 8
Ilustración 6 Acceso al DFS................................................................................................................ 8
Ilustración 7 Acceso a carpetas compartidas .................................................................................... 9
Ilustración 8 Acceso a carpetas compartidas .................................................................................... 9
Ilustración 9 Acceso a carpetas compartidas .................................................................................. 10
Ilustración 10 Evidencia del parcheo correcto del a Vulnerabilidad............................................... 11
Índice de tablas
Tabla 1 Clasificación de Severidad de Vulnerabilidades ................................................................... 4
Tabla 3 Criticidad de las Vulnerabilidades ........................................................................................ 5
2
� GESTIÓN Y SEGUIMIENTO
Pentesting Active Directory
2. Informe Ejecutivo
2.1. Objetivo
Realizar un pentesting y análisis de vulnerabilidades del directorio Activo 10.230.240.241,
para validar que no existan vulnerabilidades que puedan afectar a la integridad,
disponibilidad y confidencialidad del aplicativo.
2.2. Ubicación
Las diferentes evaluaciones de seguridad han sido desarrolladas fuera de las instalaciones
de la caja de Valores a través de una conexión VPN, siendo el sitio autorizado para las
pruebas debido a la modalidad de teletrabajo parcial que se mantiene en la organización.
2.3. Metodología
Para la presente evaluación se han considerado y utilizado las siguientes metodologías:
1. CEH v10
2. NIST 800-115
2.4. Consideraciones del Alcance
• El pentesting se realizará en modalidad “Caja Gris” ya que se cuenta con un usuario
cajval/jcampoverde para acceder al directorio activo , el cual es un usuario sin roles
o permisos especiales.
• Se estableció la modalidad caja gris, ya que se pidió reglas de Firewall explícitas para
llegar al aplicativo, pero no reglas o excepciones en el IPS/IDS.
• Las pruebas se llevarán a cabo desde el 10/8/2022 hasta el 11/8/2022 , y se
presentará un informe al referente con las vulnerabilidades y las recomendaciones
para la mitigación de estas.
• De igual manera en el alcance se definió no realizar escaneos automáticos que
puedan causar afectaciones en el servicio y en la disponibilidad del ambiente de
homologaciones.
3
� GESTIÓN Y SEGUIMIENTO
Pentesting Active Directory
2.5. Valoración de las Vulnerabilidades
La valoración del riesgo de las vulnerabilidades identificadas, responden a la siguiente tabla:
Es probable que un intruso pueda ganar control sobre el activo de información,
Crítica
o existe una fuga potencial de información sensible
Un intruso puede ganar acceso a cierta información específica almacenada en
Alta el activo de información, incluyendo configuraciones de seguridad. Esto puede
llevar al uso indebido de equipos, servicios, sistemas y demás
Un intruso puede ganar información acerca del host y la arquitectura de su
entorno como versiones precisas del software instalado, servidores, etc. Esto
Media
puede ser utilizado para explotar las vulnerabilidades existentes específicas de
cada versión.
Revelan información menos valiosa que las medias, en muchos casos son
Baja
inherentes al funcionamiento de la red
Tabla 1 Clasificación de Severidad de Vulnerabilidades
3. Resumen del Pentest
A continuación, se muestra un sumario de vulnerabilidades. El mismo se genera a partir de la
búsqueda de vulnerabilidades en los puertos, servicios expuestos en el directorio activo, con la
siguiente IP :
URL IP
NS11D.ext-cajval.sba.com.ar 10.230.240.241
Cabe recalcar que las observaciones listadas a continuación están acotadas al alcance efectivo
durante el transcurso de las pruebas, este alcance se ve limitado a la disponibilidad y respuestas
del directorio activo .
La búsqueda de vulnerabilidades es tanto automatizada como manual y comprende tanto las redes
y sistemas como las aplicaciones web.
4
� GESTIÓN Y SEGUIMIENTO
Pentesting Active Directory
4. Resumen de vulnerabilidades
Número de Vulnerabilidades
1
0,8
0,6 1
0,4
0,2
0 0 0 0
Críticas Altas Medias Bajas
La siguiente tabla lista las vulnerabilidades, su riesgo y criticidad:
URL Vulnerabilidad Riesgo Criticidad PARCHADA
NS11D.ext- Cuentas con privilegios y grupos
de Active Directory MEDIO MEDIA NO
cajval.sba.com.ar
NS11D.ext- Ms14-025 SI
ALTO ALTA
cajval.sba.com.ar
Tabla 2 Criticidad de las Vulnerabilidades
4.1. Detalle técnico de la revisión de vulnerabilidades.
Código PT-SER-001
Vulnerabilidad Cuentas con privilegios y grupos de Active Directory
V. Riesgo Medio Criticidad Media V.CVSS 3.0 6.5
CVSS-Vector CVSS V2: AV:N/AC:L/Au:S/C:C/I:C/A:C
Activos 172.18.25.107
vulnerables
Controlar estrictamente los miembros con cuentas privilegiadas. Antes de brindar
acceso a una cuenta con privilegios; es importante determinar si en realidad el
Detalle usuario necesita realmente todos los derechos que se está ofreciendo para poder
llevar a cabo sus actividades.
Es necesario utilizar un modelo de delegación de derechos con el menor poder
posible para las cuentas de usuario. Esta precaución limita el riesgo de que los
privilegios de un atacante se vean incrementados por rebotes sucesivos en las
Impacto
máquinas si lograr acceder a alguna cuenta de “Domain Admin”
Para los usuarios largos que son DomainAdmins, el riesgo está mitigados a través
de la segregación de estos passwords a través de la herramienta SATS , y en unas
Mitigación
tareas posteriores en conjunto con GESTION se van a analizar dar de baja la
aplicada
mayoría de estos usuarios .
5
� GESTIÓN Y SEGUIMIENTO
Pentesting Active Directory
• Es importante que todas las personas involucradas en la administración
del AD, tengan conocimientos suficientes acerca de los niveles de peligro
a los que este directorio se encuentra expuesto; así como también las
medidas que pueden tomar en caso de algún incidente.
Recomendaciones • También, para limitar las malas prácticas, es necesario que el equipo
reciba formación continua relacionada con la administración del AD.
• Esencialmente se debe validar que todos los usuarios mencionados en la
“Ilustración 2”, deban tener el rol de “Domain Admin”
https://docs.microsoft.com/es-es/windows-server/identity/ad-ds/plan/security-
Referencias
best-practices/appendix-b--privileged-accounts-and-groups-in-active-directory
Como se puede observar en la Ilustración 1 , existe un total de 65 usuarios dentro
del grupo “Domain Admins” , lo que incrementa el riesgo de que si un atacante
logra hacerse con alguna de estas cuentas, tendría control completo de la
organización
Evidencia de
grupos y cuentas
de usuario
Ilustración 1Cuentas con permisos de “Administradores de Dominio”
Esta información se validó a través de la búsqueda de Grupos del Dominio, y
existe el grupo “Domain Admins”, con un total de 65 usuarios.
6
� GESTIÓN Y SEGUIMIENTO
Pentesting Active Directory
Ilustración 2 Grupos de Domain Admins
De igual manera se logró evidenciar que existen un total de 2791 grupos, los cuales
están especificados en el archivo “enumeracionAd.xls”
PSDTA: SE VALIDO QUE NO ES POSIBLE EL ACCESO A TRAVÉS DEL LOGIN
ANONYMOUS
Ilustración 3 No es posible el login anonymous
Se logró evidenciar que la política de contraseñas es robusta y cumple con los
diferentes estándares de seguridad
Políticas de
contraseñas
Ilustración 4 Politicas de Contraseñas
7
� GESTIÓN Y SEGUIMIENTO
Pentesting Active Directory
Se evidencio que a través de un usuario de dominio es posible acceder a
diferentes carpetas con modo “LECTURA”
Ilustración 5 Acceso a través de SMB a carpetas compartidas
Acceso a el DFS en modo lectura (Se observa que no hay información del 2022)
Carpetas
Compartidas a
través de SMB
Ilustración 6 Acceso al DFS
8
� GESTIÓN Y SEGUIMIENTO
Pentesting Active Directory
Ilustración 7 Acceso a carpetas compartidas
Acceso a la carpeta Inventario$ (Se observa que si hay información del año 2022),
de igual manera se observa un archivo hola.txt que se subió en un pentesting
anterior (Ahora la carpeta es de solo lectura) , lo cual mitiga en gran manera el
riesgo de subida de un Ransomware .
Ilustración 8 Acceso a carpetas compartidas
Acceso a la carpeta backup
9
� GESTIÓN Y SEGUIMIENTO
Pentesting Active Directory
Ilustración 9 Acceso a carpetas compartidas
Código PT-SER-002
Vulnerabilidad Enumeracion del Directorio Activo
V. Riesgo Medio Criticidad Alta V.CVSS 3.0 7.5
CVSS-Vector CVSS V2: AV:N/AC:L/Au:S/C:C/I:C/A:C
Activos Revisados NS11D.ext-cajval.sba.com.ar
La vulnerabilidad MS14-025 se refiere a la forma en que Active Directory
distribuye las contraseñas que se configuran mediante las preferencias de la
Detalle directiva de grupo. Esto podría permitir que un atacante remoto recupere y
descifre las contraseñas almacenadas con las preferencias de la Política de grupo.
Con acceso a este archivo XML, el atacante puede usar la clave privada AES para
descifrar la contraseña de GPP y de esta manera tener la clave del usuario
Impacto
“Administrator” en texto plano eh intentar acceder al DomainControler.
Recomendaciones No aplica, ya que el servidor se encuentra parchado de manera correcta
Referencias http://msdn.microsoft.com/en-us/library/cc232604(v=prot.13)
Se intentó explotar a través del módulo smb_enum_gpp que no existe el archivo
en las preferencias de la directiva de grupo, por lo cual la vulnerabilidad está
subsanada de manera correcta, como se observa en la siguiente ilustración.
10
� GESTIÓN Y SEGUIMIENTO
Pentesting Active Directory
Evidencia
Ilustración 10 Evidencia del parcheo correcto del a Vulnerabilidad
11
� GESTIÓN Y SEGUIMIENTO
Pentesting Active Directory
Conclusiones y recomendaciones finales
1. En el informe adjunto está la revisión en la fase de enumeración de AD, se
mencionan 2 vulnerabilidades altas (Existen 65 DOMAIN ADMINS) , pero son los
usuarios largos y están mitigados a través de la segregación de estos passwords a
través de SATS , y en unas tareas posteriores en conjunto con GESTION se van a
analizar dar de baja la mayoría de estos usuarios .
2. Se validó que existen un total de casi 3000 grupos de AD lo cual a nivel de auditoría
es incorrecto (Se adjunta los grupos que se pudo extraer en el archivo
enumeración.xls)
3. A nivel de políticas de complejidad de contraseñas están correctas
4. Se validó la vulnerabilidad MS14-025 que permite a través de las preferencias de
grupos obtener el clave administrador (parchada correctamente)
5. A nivel del protocolo SMB es posible aun acceder al DFS con un usuario normal
(jcampoverde) , pero esto se va a dar de baja cuando se acabe de migrar los AD (en
el informe pentestingad.docx, están los detalles de las carpetas y archivos
accesibles, de igual manera a la carpeta inventario$)
Actividades Futuras
Se va a compilar nuevamente una regla de FW , para poder acceder al kerberos ya que el
martes no se había aplicado el ticket y de igual manera se pidió el rango completo para
validar vulnerabilidades a nivel de parches del Sistema Operativo
• Zerologon
• Kerberorasting
• MS14-025
• Printnigthmare
• Powerview
De igual manera cuando se migre el AD S10T cajval.sba.com.ar, se va a ejecutar
BLOODHOUND Y PINGCASTLE para obtener un grafo completo de todos los AD y ver a nivel
de contrains , delegaciones , grupos y restricciones como están a nivel de Madurez.
12
� GESTIÓN Y SEGUIMIENTO
Pentesting Active Directory
13
