Active Directory Sob Ataque – Principais Vulnerabilidades Exploradas por Hackers

Sempre que falo sobre sobre o Active Directory eu inicio falando que ele é o alicerce da infraestrutura de uma rede Microsoft. Ele sustenta praticamente toda a operação das corporações e até por isso é um alvo especial para hackers e pentesters

Aqui eu deixo uma lista simples, mas com alguns dos mais conhecidos e comuns ataques ao Active Directory.

1. Exploração de Serviços no AD

• WebDAV Ativo
  • Identifique servidores com WebDAV ativo. Explore upload de arquivos maliciosos ou abuso de permissões inadequadas para execução remota.
• PrintNightmare
  • Ataques ao spooler de impressão no DC, como PrintNightmare, permitindo escalada de privilégios ou execução remota de código.
• Web Applications
  • Identifique vulnerabilidades em aplicações web que executam com contas privilegiadas, como NT AUTHORITY\SYSTEM, para comprometer o sistema.

---

2. Ataques Baseados em Autenticação

• kerberoasting
  • Extração de hashes Kerberos de contas com SPNs e quebra offline para recuperar senhas. Requer permissões básicas de leitura no AD.
• AS-REP roasting
  • Extração de hashes de contas sem preauth Kerberos habilitado. Utilize ferramentas como Rubeus para coleta e quebra de hashes.
• LAPS reading permission
  • Identifique permissões de leitura no atributo LAPS, que pode armazenar senhas de administradores locais configuradas automaticamente.
• Password Spray
  • Teste uma única senha comum em várias contas para evitar bloqueios, observando a política de senha do domínio.
• Crack NTLMv2
  • Ferramenta para capturar hashes NTLMv2 via responder e quebrá-los offline, especialmente útil em redes mal configuradas.

---

3. Vulnerabilidades no Active Directory

• zerologon
  • Vulnerabilidade no protocolo Netlogon que permite execução de código remoto no DC, levando ao comprometimento total do domínio.
• Ataques a certificados
  • Identifique falhas em PKI/CA, como permissões de emissão inadequadas, usando ferramentas como Certipy para abusar de certificados mal configurados.
• Petitpotam
  • Ataque que força a autenticação NTLM de servidores Windows usando chamadas RPC. Combine com NTLMRelayX para comprometer alvos.

---

4. Abuso de Permissões e Configurações

• shadow credentials
  • Insira credenciais maliciosas em objetos do AD para acesso persistente, explorando falhas de permissões.
• ACLs/ACEs abuse
  • Modifique ACLs/ACEs mal configurados para criar contas, delegar permissões ou comprometer objetos no AD.
• GPO misconfiguration
  • Explore configurações de políticas de grupo vulneráveis para executar código ou implantar scripts maliciosos.

---

5. Ataques Avançados com Credenciais

• lsass dump
  • Extraia credenciais diretamente da memória do processo LSASS. Ferramentas personalizadas podem evitar detecção por EDRs.
• local lsass dump
  • Use arquivos de disco virtual (VMDK) para extrair credenciais do LSASS em sistemas comprometidos, evitando interações ao vivo.
• Impersonating
  • Abuso de tokens de acesso para se passar por outros usuários ou serviços privilegiados, criando ferramentas customizadas para evitar detecção.

---

6. Ferramentas de Coleta e Análise

• bloodhound
  • Ferramenta essencial para mapear caminhos de ataque no AD, com coleta otimizada via RustHound.

---

7. Persistência e Acesso Avançado

• DCSync Attack
  • Simule ser um DC e extraia hashes de credenciais diretamente do AD. Abusado via Mimikatz ou ferramentas similares.
• Golden Ticket Attack
  • Criação de tickets Kerberos falsos para acesso irrestrito ao domínio. Requer hash da conta KRBTGT.
• Silver Ticket Attack
  • Criação de tickets Kerberos falsos para serviços específicos (HTTP, CIFS), útil em ataques direcionados.
• Skeleton Key
  • Implante uma “chave mestra” no controlador de domínio, permitindo autenticação universal.

---

8. Exploração de Dia-Zero e Dia-Um

• 0 DAY e 1 Day
  • Exploração de vulnerabilidades não descobertas ou recém-descobertas (dia-um) que ainda possuem patches limitados ou inexistentes.

Referencias

• Ataques ao Active Directory – https://www.semperis.com/pt/blog/tools-attacking-active-directory
• Práticas recomendadas para proteger o Active Directory – https://learn.microsoft.com/pt-br/windows-server/identity/ad-ds/plan/security-best-practices
• Como destruir os ataques ao Active Directory – https://pt-br.tenable.com/blog/disrupting-the-pervasive-attacks-against-active-directory-and-identities
• Como se defender contra ataques ao Active Directory – https://www.semperis.com/pt/blog/how-to-defend-against-active-directory-attacks-that-leave-no-trace
• Vulnerabilidades no Active Directory – https://www.redbelt.com.br/blog/vulnerabilidades-no-active-directory-como-detectar-e-mitigar
• Ataques a contas do Active Directory – https://danieldonda.com/ataques-a-contas-do-active-directory
• Ataques Ransomware e o Active Directory – https://danieldonda.com/ataques-ransomware-e-o-active-directory
• Melhores práticas de segurança do Active Directory – https://www.semperis.com/pt/blog/active-directory-security-best-practices-checklist
• Active Directory Exploitation – https://sec4us.com.br/treinamentos/active-directory-exploitation
• HADES: Detecting Active Directory Attacks – https://arxiv.org/abs/2407.18858
• Detecting Forged Kerberos Tickets – https://arxiv.org/abs/2301.00044
• Scalable Edge Blocking Algorithms – https://arxiv.org/abs/2212.04326
• Defending Active Directory with Neural Networks – https://arxiv.org/abs/2204.03397