El Directorio Activo de Microsoft es el núcleo del sistema de redes empresariales Windows. Este sistema se encarga de autenticar y autorizar a los usuarios y equipos individuales que desean acceder a un sistema de red. Al ser una parte tan clave de la red, han existido muchos informes sobre la seguridad y las posibles lagunas en la seguridad de este servicio.
Sin embargo, la plataforma Active Directory Certificate Services de Microsoft no ha sido objeto de la misma cantidad de análisis y estudios, por lo que está plagada de debilidades de seguridad potencialmente graves. Active Directory Certificate Services de Microsoft es la implementación PKI de Microsoft, que proporciona funciones de seguridad digital a las organizaciones.
En este artículo, echaremos un vistazo a lo que hacen los Servicios de certificados de Active Directory de Microsoft y cómo funcionan. A continuación, investigaremos las vulnerabilidades de seguridad y los puntos débiles que presentan estos servicios. Y, por último, exploraremos cómo mitigar estos factores de riesgo de ciberseguridad.
¿Cómo funcionan los servicios de certificación de Active Directory?
Los servicios de certificación de Active Directory, o AD CS, proporcionan servicios que permiten a los usuarios personalizar sus certificados de infraestructura de clave pública. La infraestructura de clave pública, o PKI, se puede utilizar para diversos fines de seguridad digital, como cifrado, firmas digitales, correo electrónico, autenticación de usuarios, documentos electrónicos y mensajería. AD CS proporciona los servicios para que las organizaciones creen y gestionen sus certificados PKI específicos.
Active Directory Certificate Services es compatible con varias aplicaciones. Estas aplicaciones incluyen Internet Protocol Security, o IPSec, Encrypting File Systems, o EFS, Virtual Private Networks, o VPNs, redes inalámbricas seguras, Network Access Protection, o NAP, e inicios de sesión con tarjeta inteligente, entre otras aplicaciones.
Active Directory puede integrarse con aplicaciones y sistemas CRM (gestión de las relaciones con los clientes), lo que lo convierte en una opción muy popular entre los comerciantes. Las pequeñas empresas suelen buscar un CRM que incluya funciones críticas como sistemas de tickets, automatización basada en IA, cifrado, seguridad e integración avanzada de aplicaciones. Dado que Active Directory puede integrarse fácilmente, es una opción popular para proporcionar estructuras de directorio y seguridad para aplicaciones CRM.
La instalación del AD CS puede ser una tarea costosa, ya que no sólo requiere gastos generales elevados en el propio hardware, sino también la instalación, el despliegue y el mantenimiento continuo por parte de un equipo de expertos.
A continuación se explica cómo funcionan los servicios de certificación de Active Directory. En primer lugar, se utilizan para establecer una CA (autoridad certificadora) empresarial privada. A continuación, la CA se utiliza para producir certificados que vinculan la identidad de una cuenta, un usuario o un equipo específicos a un par de claves públicas y privadas. Ese par de claves puede utilizarse entonces para distintas funciones y operaciones. Estas acciones pueden incluir la firma de documentos, el cifrado de archivos y la autenticación, entre otras.
Los administradores de los servidores AD CS crean plantillas para estos certificados. Las plantillas actúan como esquemas para futuros usuarios, mapas detallados que guían cómo emitir certificados, para quién emitirlos, qué operaciones pueden certificar, cuánto tiempo durarán estas certificaciones y qué configuraciones de cifrado contendrán.
Los sistemas AD CS son similares a HTTPS en el sentido de que la autoridad certificadora proporciona la validación de que el sistema Active Directory puede aceptar cualquier par específico de clave pública-privada. Un ordenador o usuario autenticado debe adquirir un certificado de AD CS, crear un par de claves pública-privada y enviar ese par de claves a la autoridad certificadora, junto con las preferencias y especificaciones de configuración.
Todos estos pasos forman parte de la solicitud de firma de certificado o CSR. La identidad del usuario u ordenador autenticado que envía la solicitud aparece como una cuenta de dominio. La CSR incluye esta cuenta de dominio de identidad de usuario, la plantilla específica que se utiliza para el certificado solicitado y una lista del tipo de acciones para las que se utilizará el certificado. .
Debilidades de ciberseguridad en los servicios de certificación de Active Directory de Microsoft
Un reciente informe publicado por analistas de ciberseguridad ha revelado que Microsoft AD CS incluye a menudo errores de configuración que pueden tener consecuencias muy perjudiciales. La alta frecuencia de errores de configuración significa que los servidores AD CS se están convirtiendo en un objetivo frecuente de los hackers que buscan acceso a cuentas privadas y dominios ocultos.
Los ataques de secuencias de comandos en sitios cruzados o ataques XSS pueden producirse en los servicios de certificación del Active Directory cuando la inscripción Web no desinfecta completamente las entradas específicas de los usuarios, de modo que la entrada se almacena en una base de datos segura sin pasar por pruebas suficientes. Además de los ataques XSS y de secuencias de comandos en sitios cruzados, estas entradas no desinfectadas pueden provocar directamente ataques de inyección SQL. En este tipo de ciberataque, un criminal puede interferir directamente en las consultas que las aplicaciones hacen a las bases de datos, inyectando inestabilidad e inseguridad en las aplicaciones basadas en datos.
Según estudios recientes, hoy en día el 60% de los clientes prefieren utilizar sus teléfonos para comunicarse con las pequeñas empresas. Si esa empresa utiliza un AD CS con una debilidad de seguridad, entonces recibir entradas de usuario a través del smartphone de un cliente es susceptible de ser crackeado para exponer los datos sensibles de ese cliente.
¿Hasta qué punto son graves los riesgos de seguridad?
Aunque AD CS no se instala automáticamente en todos los servidores del Active Directory, se utiliza ampliamente en entornos empresariales e industriales. Esto significa que existen enormes daños potenciales causados por brechas de seguridad como resultado directo de servicios de certificados mal configurados en los sistemas AD CS.
En un ataque persistente 2021, por ejemplo, un grupo de hackers que utilizaba una técnica conocida como "FoggyWeb" montó ataques sostenidos en servidores del Active Directory que habían sido comprometidos. Utilizaron este acceso continuo para robar datos, recibir código desde dentro de los servidores e implementar estos códigos maliciosos, causando daños y caos.
Cómo mitigar las debilidades de Active Directory Certificate Services
El equipo de seguridad de Microsoft ha publicado una serie de métodos específicos para mitigar las debilidades de Active Directory Certificate Services desde los servidores del sistema. Microsoft recomienda, en primer lugar, deshabilitar HTTP y habilitar EPA en todos los servidores de Servicios de certificados de Active Directory. A continuación, Microsoft sugiere habilitar Require SSL y deshabilitar la autenticación NTLM siempre que sea una opción factible. Deshabilitar la autenticación NTLM en el controlador de dominio de Windows puede ayudar mucho a controlar los daños.
Los usuarios también deben bloquear las conexiones creadas por el certificado de directorio que conectan con hosts y servicios arbitrarios. Un certificado de directorio que funcione correctamente sólo comenzará a conectarse con destinatarios certificables, como otros certificados de directorio, o hosts que hayan sido autorizados previamente como vitales para esa comunicación específica. Todas las conexiones salientes deben limitarse a hosts y servicios de nivel 0 si el dominio utiliza la jerarquización.
Además de reforzar la seguridad desde dentro de los servidores AD CS, las organizaciones pueden implementar varios parches de seguridad externos para reforzar la seguridad general. Las organizaciones pueden utilizar Auto Enrollment Gateway, o AEG, para proporcionar capas adicionales de seguridad en cada punto final de la red. AEG puede cubrir lagunas de seguridad y añadir niveles adicionales de autenticación de usuarios y equipos, para tener en cuenta posibles descuidos de ciberseguridad y puntos débiles en el sistema AD CS.
Conclusion
Aunque los servicios de certificación del Active Directory de Microsoft pueden proporcionar funciones útiles, como cifrado, firmas digitales, almacenamiento de archivos, mensajería, correo electrónico y autenticación, los servidores han mostrado frecuentes errores de configuración. Estas desconfiguraciones presentan lagunas críticas en la ciberseguridad que deberán ser resueltas por los desarrolladores.
Mientras tanto, los usuarios pueden mitigar los efectos de estas debilidades inherentes a la ciberseguridad deshabilitando HTTP y habilitando EPA, así como bloqueando las conexiones de certificados de directorio a hosts arbitrarios. Además, los usuarios pueden utilizar Auto Enrollment Gateway para proporcionar capas adicionales de seguridad robusta, apuntalando las brechas de seguridad y proporcionando un cifrado y autenticación de extremo a extremo más fuertes.
