Esta es una pregunta difícil de responder: «¿Cuántas cuentas de servicio tiene en su entorno?». Una más difícil es: ‘¿Sabes lo que están haciendo estas cuentas?’. Y lo más difícil es probablemente: ‘Si alguna de sus cuentas de servicio se viera comprometida y se usara para acceder a los recursos, ¿podría detectarlo y detenerlo en tiempo real?’.
Dado que la mayoría de los equipos de identidad y seguridad darían una respuesta negativa, no es de extrañar que Una de las acciones inmediatas que realizan los atacantes de hoy en día después de un punto final inicial comprometido es buscar cuentas de servicio no vigiladas. Y es aún menos sorprendente que, en la mayoría de los casos, logren encontrar uno y lo aprovechen para propagarse en todo el entorno, siendo notados solo cuando es demasiado tarde, después de que las estaciones de trabajo y el servidor fueron encriptados por ransomware o se robaron datos confidenciales.
En este artículo, desglosamos las razones que han causado que las cuentas de servicio se conviertan en una de las debilidades más peligrosas en un entorno de Active Directory, explicamos cómo este poder de debilidad alimenta los ataques de ransomware y, finalmente, conocemos cómo la plataforma de protección de identidad unificada de Silverfort permite a las organizaciones superar lo que hasta ahora era un reto de seguridad insoluble.
Cuentas de servicio: cuentas de usuario que no están asociadas con ninguna persona real y se utilizan para la comunicación de máquina a máquina
Cuentas de usuario son uno de los pilares fundamentales del entorno empresarial. Intuitivamente, asociamos cuentas de usuario con personas reales. Sin embargo, también existen cuentas de usuario que no están asociadas a ningún ser humano. Estas cuentas se crean para la comunicación de máquina a máquina, la automatización de tareas repetitivas y otras tareas que deben realizarse en segundo plano sin intervención humana. Generalmente se conocen como ‘cuentas de servicio’ y, aparte de su disociación de una persona real, son idénticas en todos los aspectos a las otras cuentas de usuario ‘asociadas a personas’.
Estas cuentas de servicio se crean de dos maneras principales. El primero, es un personal de TI que determina que cierta higiene, monitoreo o cualquier otra tarea sería mejor realizada de manera automatizada, en lugar de manual. El segundo, está en el curso de la instalación de un software empresarial local. En ese caso, algunas cuentas de servicio se crean según las instrucciones del software específico, en el curso de la instalación misma, y se encargan de escanear, distribuir actualizaciones y tareas de mantenimiento similares.
Desafíos de seguridad de la cuenta de servicio: invisible, altamente privilegiado y extremadamente difícil de proteger
Comprendamos qué hace que las cuentas de servicio sean una superficie de ataque desatendida:
- falta de visibilidad: Por extraño que parezca, no existe ninguna utilidad dentro de la infraestructura de identidad que pueda filtrar automáticamente las cuentas de servicio del grupo general de usuarios. Tampoco existe ningún proceso de documentación automatizado que indique la creación de una cuenta de servicio.
- Altos privilegios de acceso: Dado que las cuentas de servicio se crean para la comunicación de máquina a máquina, no hace falta decir que deben poseer los privilegios necesarios para acceder a todas estas máquinas, lo que significa que son usuarios administrativos, no diferentes a cualquier administrador de TI.
- Sin protección PAM: La práctica común es proteger las cuentas administrativas colocándolas en la bóveda de una solución PAM y rotando sus contraseñas. Sin embargo, este enfoque no se puede aplicar a las cuentas de servicio porque sus contraseñas están codificadas en los scripts que ejecutan sus tareas. Como tal, cualquier rotación de contraseña invalidaría la contraseña en las secuencias de comandos, evitando que la cuenta de servicio acceda a su recurso de destino y, posteriormente, rompería cualquier proceso que dependa de la tarea de la cuenta de servicio.
4 pasos para la seguridad integral de la cuenta de servicio
Hay innumerables cuentas de servicio en cualquier organización determinada. Estas cuentas pueden convertirse en activos de alto riesgo que, si no se controlan, pueden permitir que las amenazas se propaguen por toda la red sin ser detectadas. Consulte este libro electrónico para descubrir 4 pasos simples que le ayudarán a mantener seguras sus cuentas de servicio.
Cómo los atacantes aprovechan las cuentas de servicio de bajo costo para el movimiento lateral y la propagación del ransomware
Supongamos que un actor de ransomware ha comprometido con éxito un punto final (la estación de trabajo o el servidor son lo mismo). Esto, por supuesto, es solo el primer paso. El siguiente paso es comenzar a escanear el entorno para descubrir cuentas de usuario comprometidas que permitirían al adversario moverse lateralmente dentro del entorno y plantar la carga útil del ransomware en tantas máquinas como sea posible.
Pero, ¿qué cuenta elegir? El adversario necesita una cuenta lo suficientemente privilegiada para acceder a otros servidores y estaciones de trabajo. Pero también debe ser un cuenta que se puede utilizar bajo el radar sin llamar la atención no deseada.
Esta es la razón por las cuentas de servicio son el mejor objetivo de compromiso. Los atacantes saben que existe una buena posibilidad, que nadie está mirando esta cuenta, o mejor aún, que nadie ni siquiera sabe que esta cuenta existe. Podría haber sido creado hace años por un administrador que desde entonces dejó la empresa sin molestarse en eliminar las cuentas de servicio que creó.
Ejemplo de ataque de cuenta de servicio n.º 1: Patrón de ataque de ransomware utilizando la cuenta de servicio de Microsoft Exchange Server comprometida
El siguiente diagrama muestra un ataque de muestra, uno de los muchos que hemos analizado en el último año, en el que el adversario utilizó una cuenta de servicio de Exchange Server comprometida para la primera parte de su movimiento lateral, seguido de un compromiso adicional de las credenciales de un administrador.
Vea los detalles de cada etapa a continuación:
- Acceso inicial: Comprometer el servidor de Exchange explotando la vulnerabilidad de Proxyshell
- Compromiso de credenciales: Obtención de credenciales para el usuario del dominio
- Movimiento Lateral 1: Utilizar las cuentas de servicio para acceder a máquinas adicionales
- Compromiso de Credencial 2: Obtención de credenciales de usuario administrador
- Movimiento Lateral 2: Utilizar las credenciales de administrador para la propagación masiva en varias máquinas
- Ejecución de malware: Plante y ejecute ransomware en las máquinas
Ejemplo de ataque a cuenta de servicio n.º 2: movimiento lateral en el entorno híbrido de Uber
El famoso ataque a Uber ocurrido hace unos meses incorporó un importante uso de compromiso y uso de cuenta de servicio. En ese caso, era una cuenta de servicio que tiene acceso al PAM. Los atacantes encontraron el script con las credenciales de la cuenta de servicio en una unidad de red compartida y lo utilizaron para extraer contraseñas de múltiples recursos de la bóveda de PAM.
Vea los detalles de cada etapa a continuación:
- Acceso inicial: Bombardeo MFA para obtener acceso a través de VPN.
- Compromiso de Credencial 1: robar las credenciales de la cuenta de servicio de una carpeta compartida.
- Compromiso de credenciales 2: Roba secretos del servidor secreto de PAM.
- Movimiento lateral: Use secretos para acceder a una variedad de recursos confidenciales
Descubrimiento, monitoreo y protección automatizados de Silverfort para cuentas de servicio
La plataforma de protección de identidad unificada de Silverfort es la primera solución que automatiza completamente el ciclo de vida de seguridad de la cuenta de servicio con un esfuerzo casi nulo por parte del usuario:
Descubrimiento de todas las cuentas de servicio y mapeo de su actividad
La integración nativa de Silverfort con Active Directory le permite analizar cada intento de acceso y autenticación entrante de todas las cuentas de usuario, y detectar fácilmente si una cuenta presenta el comportamiento predecible y repetitivo que diferencia las cuentas de servicio de los usuarios estándar. Según este análisis, Silverfort genera una salida de todas las cuentas de servicio dentro del entorno. Además, este descubrimiento va más allá de una lista de cuentas para mostrar también los privilegios de la cuenta, sus orígenes y destinos, el nivel de actividad y otras características de comportamiento.
Análisis de riesgo continuo para revelar si una cuenta de servicio muestra indicios de compromiso
Silverfort identifica el comportamiento básico de cada cuenta de servicio y monitorea continuamente su actividad. Para una cuenta de servicio, la indicación más clara de compromiso es una desviación de su comportamiento fijo, por lo que siempre que ocurra una desviación, como acceder a una nueva estación de trabajo o servidor, o aumentar repentinamente el volumen de actividad, el motor de Silverfort elevará el puntaje de riesgo de la cuenta.
Protección activa con políticas creadas automáticamente, activadas con un solo clic
Silverfort automatiza la creación de una política de acceso para cada una de las cuentas de servicio que descubre. Esta política se activa cuando la cuenta de servicio se desvía de su comportamiento normal (como se explicó anteriormente) o cuando su nivel de riesgo aumenta debido a amenazas de identidad detectadas (Pass-the-Hash, Kerberoasting, Pass-the-Ticket, etc.). La política puede desencadenar una alerta o el bloqueo real del acceso a la cuenta de servicio, según la configuración del usuario. La única interacción requerida por parte del usuario es hacer clic en el botón de activación de la política.
¿Está buscando una forma de proteger sus cuentas de servicio? programar una llamada con uno de nuestros expertos para saber cómo puede ayudar Silverfort.