Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
PACRequestorEnforcement y autenticación Kerberos

PACRequestorEnforcement y autenticación Kerberos

Jan 10, 2022

Durante el Patch Tuesday de noviembre de 2021, Microsoft lanzó nuevas actualizaciones de seguridad para Kerberos. Incluyen nuevos eventos de sistema y nuevas estructuras en el Certificado de Atributo Privilegiado de Kerberos (PAC). Veamos qué impacto pueden tener estas actualizaciones en las operaciones y en los ataques basados en tickets de Kerberos.


¿Qué hay de nuevo?

De acuerdo con las actualizaciones estándar de Microsoft, hay algunos nuevos artículos KB así como actualizaciones de protocolo. En el que nos centraremos aquí es KB5008380, que detalla las actualizaciones para CVE-2021-42287.

Contenido relacionado seleccionado:

Clave del Registro PACRequestorEnforcement

Las actualizaciones tienen tanto una fase de despliegue como una fase de aplicación. Para pruebas y rapidez, puedes implementar la aplicación en cualquier momento antes de que salga la actualización de aplicación (actualmente programada para el 12 de julio de 2022).

Puede configurar el comportamiento del parche aplicando la clave de registro DWORD PACRequestorEnforcement en HKEY_LOCAL_MACHINESystemCurrentControlSetServicesKdc en sus controladores de dominio.

PACRequestorEnforcement puede tener los siguientes valores:

VALOR

COMPORTAMIENTO

0

Deshabilitado — Revierte la actualización

1 (predeterminado)

Implementación — Agrega el nuevo PAC. Si un usuario autenticador tiene la nueva estructura PAC, la autenticación se valida.

2

Aplicación — Agrega el nuevo PAC. Si un usuario que se está autenticando no tiene el nuevo PAC, la autenticación es denegada.

Actualizaciones de protocolo

Las actualizaciones de noviembre de 2021 también incluyeron múltiples actualizaciones de protocolo para Kerberos y Active Directory; puedes encontrar un resumen de ellas aquí. Para más detalles, necesitarás revisar los erratas y luego el documento de diferencias en los erratas.

Estructura PAC actualizada

El Certificado de Atributo Privilegiado se utiliza para codificar la información de autorización de los usuarios autenticados; contiene membresías de grupo, historial de SID e información general del usuario. En las actualizaciones de noviembre de 2021, Microsoft agregó dos nuevas estructuras de datos dentro del PAC: PAC_ATTRIBUTES_INFO y PAC_REQUESTOR. Cuando PACRequestorEnforcement se establece en 2, ambos campos nuevos son necesarios para que el ticket de Kerberos sea exitoso.

Una de las partes más interesantes de las actualizaciones es la nueva validación introducida con la estructura PAC_REQUESTOR. Cuando esta estructura se incluye en un ticket de Kerberos, el KDC (controlador de dominio) ahora valida que el nombre del cliente (cname) (también conocido como el nombre de usuario) se resuelva al mismo SID que se utiliza en la estructura PAC_REQUESTOR, siempre que el cliente y el KDC estén en el mismo dominio. Si no coincide, entonces el TGT que se utilizó se revoca automáticamente y no se puede utilizar. Esto ocurre solo cuando el cliente y el KDC están en el mismo dominio.

¿Qué significa esto para los Golden Tickets?

Un Golden Ticket es un ticket Kerberos falsificado que los atacantes utilizan para obtener acceso a recursos altamente privilegiados durante largos períodos de tiempo manipulando el PAC.

Cuando el modo de aplicación está activo, las herramientas que crean Golden Tickets deberán utilizar el campo PAC_REQUESTOR, el cual está sujeto a validación por parte del controlador de dominio. Esto significa que ya no es posible crear Golden Tickets para usuarios inexistentes cuando todos están en el mismo dominio. Sin embargo, todavía es posible utilizar usuarios inexistentes con Trust Tickets (Golden Tickets creados para autenticarse a través de una confianza porque la validación se completa solo cuando la cuenta está en el mismo dominio que el controlador de dominio).

Los nuevos eventos (que se detallan en las notas de actualización) pueden proporcionar más indicadores de Golden Tickets, como exploits mal construidos o no actualizados. Estos nuevos eventos deben recopilarse en un SIEM si estás utilizando el registro de Windows para la detección de amenazas. La tabla a continuación detalla los diferentes eventos:

ID de evento

Nombre

Descripción

38

Incompatibilidad de solicitante

La nueva estructura PAC_REQUESTOR se utilizó pero el nombre del cliente (nombre de usuario) no se resolvió al SID utilizado en PAC_REQUESTOR.

37

Ticket sin solicitante

Se solicitó un ticket de servicio pero la nueva estructura PAC_REQUESTOR no estaba presente.

36

Ticket sin un PAC

Se solicitó un ticket de servicio pero no había PAC presente.

35


PAC sin atributos

La nueva estructura PAC_ATTRIBUTE_INFO no estaba presente en el PAC

Problemas con la actualización

Lamentablemente, en la versión inicial de las actualizaciones de noviembre de 2021, ciertos escenarios de Kerberos delegation se vieron afectados, por lo que se lanzó un nuevo parche fuera de banda para los clientes que enfrentaban este problema. Sander Berkouwer en DirTeam tiene un buen artículo sobre esto aquí, con enlaces a cada uno de los KB disponibles.

Conclusión

Aunque esta es una buena actualización y un paso en la dirección correcta, sería excelente si continuamos viendo más mejoras en el protocolo por parte de Microsoft para Kerberos, como validar la nueva estructura PAC_REQUESTOR a través de confianzas (lo que debería eliminar todos los Golden Tickets de usuarios no existentes), verificar que las membresías en el PAC sean las del usuario resuelto, y quizás incluso verificar que la información en el perfil del usuario esté en el PAC y que la estructura del PAC cumpla con los estándares. Contar con más detecciones y prevenciones nativas nunca es malo y ayudará a las empresas a defenderse mejor.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Joe Dibley

Investigador de seguridad

Investigador de seguridad en Netwrix y miembro del Equipo de Investigación de Seguridad de Netwrix. Joe es un experto en Active Directory, Windows y una amplia variedad de plataformas y tecnologías de software empresarial, Joe investiga nuevos riesgos de seguridad, técnicas de ataque complejas y las mitigaciones y detecciones asociadas.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad