Tutorial: Alertas de desplazamiento lateralTutorial: Lateral movement alerts

Normalmente, los ataques cibernéticos se inician contra cualquier entidad accesible, como un usuario con pocos privilegios, y luego se desplazan lateralmente con rapidez hasta que el atacante obtiene acceso a recursos valiosos.Typically, cyberattacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets. Los activos valiosos pueden ser cuentas confidenciales, administradores de dominio o información muy confidencial.Valuable assets can be sensitive accounts, domain administrators, or highly sensitive data. Microsoft Defender for IdentityMicrosoft Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de eliminación del ataque y las clasifica en las siguientes fases:Microsoft Defender for IdentityMicrosoft Defender for Identity identifies these advanced threats at the source throughout the entire attack kill chain and classifies them into the following phases:

  1. ReconocimientoReconnaissance
  2. Credenciales en peligroCompromised credentials
  3. Desplazamientos lateralesLateral Movements
  4. Dominación de dominioDomain dominance
  5. FiltraciónExfiltration

Para más información sobre cómo entender la estructura y los componentes comunes de todas las alertas de seguridad deDefender for IdentityDefender for Identity, consulte Descripción de alertas de seguridad.To learn more about how to understand the structure, and common components of all Defender for IdentityDefender for Identity security alerts, see Understanding security alerts. Para obtener más información sobre Verdadero positivo (TP) , Verdadero positivo benigno (B-TP) y Falso positivo (FP) , vea Clasificaciones de alertas de seguridad.For information about True positive (TP), Benign true positive (B-TP), and False positive (FP), see security alert classifications.

Las siguientes alertas de seguridad ayudan a identificar y corregir las actividades sospechosas de la fase de desplazamiento lateral que Defender for IdentityDefender for Identity detecta en la red.The following security alerts help you identify and remediate Lateral Movement phase suspicious activities detected by Defender for IdentityDefender for Identity in your network. En este tutorial aprenderá a comprender, clasificar, corregir y evitar los tipos de ataques siguientes:In this tutorial, you'll learn how to understand, classify, remediate, and prevent the following types of attacks:

  • Ejecución remota de código mediante DNS (identificador externo 2036)Remote code execution over DNS (external ID 2036)
  • Sospecha de robo de identidad (pass-the-hash) (id. externo 2017)Suspected identity theft (pass-the-hash) (external ID 2017)
  • Sospecha de robo de identidad (pass-the-ticket) (id. externo 2018)Suspected identity theft (pass-the-ticket) (external ID 2018)
  • Sospecha de alteración de la autenticación NTLM (id. externo: 2039)Suspected NTLM authentication tampering (external ID 2039)
  • Sospecha de ataque de retransmisión de NTLM (cuenta de Exchange, identificador externo 2037)Suspected NTLM relay attack (Exchange account) (external ID 2037)
  • Sospecha de ataque overpass-the-hash (Kerberos) (id. externo 2002)Suspected overpass-the-hash attack (Kerberos) (external ID 2002)
  • Uso de un certificado Kerberos sospechoso de no estar autorizado (id. externo 2047)Suspected rogue Kerberos certificate usage (external ID 2047)
  • Sospecha de manipulación de paquetes SMB (vulnerabilidad CVE-2020-0796): (versión preliminar) (id. externo 2406)Suspected SMB packet manipulation (CVE-2020-0796 exploitation) - (preview) (external ID 2406)

Ejecución remota de código mediante DNS (identificador externo 2036)Remote code execution over DNS (external ID 2036)

DescripciónDescription

El 11 de diciembre de 2018 Microsoft publicaba CVE-2018-8626, que anuncia la existencia de una ejecución remota de código recién descubierta en los servidores del Sistema de nombres de dominio (DNS) de Windows.12/11/2018 Microsoft published CVE-2018-8626, announcing that a newly discovered remote code execution vulnerability exists in Windows Domain Name System (DNS) servers. En esta vulnerabilidad, los servidores no son capaces de gestionar correctamente las solicitudes.In this vulnerability, servers fail to properly handle requests. Un atacante que consiga explotar esta vulnerabilidad puede ejecutar código arbitrario en el contexto de la cuenta del sistema local.An attacker who successfully exploits the vulnerability can run arbitrary code in the context of the Local System Account. Los servidores de Windows configurados actualmente como servidores DNS están expuestos a ella.Windows servers currently configured as DNS servers are at risk from this vulnerability.

En esta detección, se desencadena una alerta de seguridad de Defender for IdentityDefender for Identity cuando se realizan consultas DNS sospechosas de aprovechar la vulnerabilidad de seguridad CVE-2018-8626 en un controlador de dominio de la red.In this detection, a Defender for IdentityDefender for Identity security alert is triggered when DNS queries suspected of exploiting the CVE-2018-8626 security vulnerability are made against a domain controller in the network.

Período de aprendizajeLearning period

No aplicableNot applicable

TP, B-TP o FPTP, B-TP or FP

  1. ¿Están los equipos de destino actualizados y revisados contra CVE-2018-8626?Are the destination computers up-to-date and patched against CVE-2018-8626?
    • Si los equipos están actualizados y revisados, cierre la alerta de seguridad como FP.If the computers are up-to-date and patched, Close the security alert as a FP.
  2. ¿Se creó un servicio o se ejecutó un proceso desconocido en torno a la hora del ataque?Was a service created or an unfamiliar process executed around the time of the attack
    • Si no se encuentra ningún servicio nuevo o proceso desconocido, cierre la alerta de seguridad como FP.If no new service or unfamiliar process is found, Close the security alert as a FP.
  3. Este tipo de ataque puede bloquear el servicio DNS antes de que la ejecución de código se realice correctamente.This type of attack can crash the DNS service before successfully causing code execution.
    • Compruebe si el servicio DNS se reinició unas cuantas veces en torno a la hora del ataque.Check if the DNS service was restarted a few times around the time of the attack.
    • Si se inició DNS, probablemente fuera un intento de explotar CVE-2018-8626.If the DNS was restarted, it was likely an attempt to exploit CVE-2018-8626. Considere esta alerta una TP y siga las instrucciones que se describen en Comprender el ámbito de la vulneración de seguridad.Consider this alert a TP and follow the instructions in Understand the scope of the breach.

Comprender el ámbito de la vulneración de seguridadUnderstand the scope of the breach

Corrección sugerida y pasos de prevenciónSuggested remediation and steps for prevention

CorrecciónRemediation

  1. Contenga a los controladores de dominio.Contain the domain controllers.
    1. Corrija el intento de ejecución remota de código.Remediate the remote code execution attempt.
    2. Busque los usuarios que también hayan iniciado sesión en torno a la misma hora de la actividad sospechosa, ya que también podrían estar en peligro.Look for users also logged on around the same time as the suspicious activity, as they may also be compromised. Restablezca las contraseñas y habilite MFA o, si ha configurado las directivas de usuario de alto riesgo relevantes en Azure Active Directory Identity Protection, puede usar la acción de confirmación de usuarios en peligro en el portal de Cloud App Security.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Contenga al equipo de origen.Contain the source computer.
    1. Busque la herramienta que realizó el ataque y quítela.Find the tool that performed the attack and remove it.
    2. Busque los usuarios que también hayan iniciado sesión en torno a la misma hora de la actividad sospechosa, ya que también podrían estar en peligro.Look for users also logged on around the same time as the suspicious activity, as they may also be compromised. Restablezca las contraseñas y habilite MFA o, si ha configurado las directivas de usuario de alto riesgo relevantes en Azure Active Directory Identity Protection, puede usar la acción de confirmación de usuarios en peligro en el portal de Cloud App Security.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

PrevenciónPrevention

  • Asegúrese de que todos los servidores DNS del entorno estén actualizados y revisados con respecto a CVE-2018-8626.Make sure all DNS servers in the environment are up-to-date, and patched against CVE-2018-8626.

Sospecha de robo de identidad (pass-the-hash) (id. externo 2017)Suspected identity theft (pass-the-hash) (external ID 2017)

Nombre anterior: Robo de identidad mediante un ataque pass-the-hashPrevious name: Identity theft using Pass-the-Hash attack

DescripciónDescription

El ataque Pass-the-Hash es una técnica de movimiento lateral en la que los atacantes roban el hash NTLM del usuario de un equipo y lo usan para tener acceso a otro equipo.Pass-the-Hash is a lateral movement technique in which attackers steal a user's NTLM hash from one computer and use it to gain access to another computer.

Período de aprendizajeLearning period

No aplicableNot applicable

¿TP, B-TP o FP?TP, B-TP, or FP?

  1. Determine si el hash se ha utilizado en equipos que el usuario usa con regularidad.Determine if the hash was used from computers the user is using regularly?
    • Si el hash se ha utilizado en equipos que se usan con regularidad, cierre la alerta como FP.If the hash was used from computers used regularly, Close the alert as an FP.

Comprender el ámbito de la vulneración de seguridadUnderstand the scope of the breach

  1. Investigue más los equipos de origen y de destino.Investigate the source and destination computers further.
  2. Investigue el usuario en peligro.Investigate the compromised user.

Corrección sugerida y pasos de prevenciónSuggested remediation and steps for prevention

  1. Restablezca la contraseña del usuario de origen y habilite MFA, o bien, si ha configurado las directivas de usuario de alto riesgo relevantes en Azure Active Directory Identity Protection, puede usar la acción de confirmación de usuario en peligro en el portal de Cloud App Security.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Contenga los equipos de origen y de destino.Contain the source and destination computers.
  3. Busque la herramienta que realizó el ataque y quítela.Find the tool that performed the attack and remove it.
  4. Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora de la actividad, ya que también podrían verse comprometidos.Look for users logged in around the same time of the activity, as they may also be compromised. Restablezca las contraseñas y habilite MFA o, si ha configurado las directivas de usuario de alto riesgo relevantes en Azure Active Directory Identity Protection, puede usar la acción de confirmación de usuarios en peligro en el portal de Cloud App Security.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

Sospecha de robo de identidad (pass-the-ticket) (id. externo 2018)Suspected identity theft (pass-the-ticket) (external ID 2018)

Nombre anterior: Robo de identidad mediante un ataque pass-the-ticketPrevious name: Identity theft using Pass-the-Ticket attack

DescripciónDescription

Los ataques pass-the-ticket son técnicas de movimiento lateral en las que los atacantes roban un vale Kerberos de un equipo y lo usan para obtener acceso a otro equipo.Pass-the-Ticket is a lateral movement technique in which attackers steal a Kerberos ticket from one computer and use it to gain access to another computer by reusing the stolen ticket. En esta detección, se usa un vale Kerberos en dos (o más) equipos diferentes.In this detection, a Kerberos ticket is seen used on two (or more) different computers.

Período de aprendizajeLearning period

No aplicableNot applicable

¿TP, B-TP o FP?TP, B-TP, or FP?

La correcta resolución de las direcciones IP de los equipos de la organización es fundamental para identificar los ataques pass-the-ticket de un equipo a otro.Successfully resolving IPs to computers in the organization is critical to identify pass-the-ticket attacks from one computer to another.

  1. Compruebe si la dirección IP de un equipo o de los dos pertenece a una subred asignada desde un grupo DHCP de tamaño inferior, como, por ejemplo, VPN, VDI o Wi-Fi.Check if the IP address of one or both computers belong to a subnet that is allocated from an undersized DHCP pool, for example, VPN, VDI or WiFi?

  2. ¿Se comparte la dirección IP (por ejemplo, mediante un dispositivo NAT)?Is the IP address shared (for example, by a NAT device)?

  3. ¿No resuelve el sensor una o varias de las direcciones IP de destino?Is the sensor not resolving one or more of the destination IP addresses? Si una dirección IP de destino no está resuelta, puede indicar que los puertos correctos entre el sensor y los dispositivos no están abiertos correctamente.If a destination IP address is not resolved, it may indicate that the correct ports between sensor and devices are not open correctly.

    Si la respuesta a cualquiera de las preguntas anteriores es , compruebe si los equipos de origen y de destinos son iguales.If the answer to any of the previous questions is yes, check if the source and destinations computers are the same. Si son iguales, se trata de una actividad FP y no se produjo ningún intento real en pass-the-ticket.If they are the same, it is an FP and there were no real attempts at pass-the-ticket.

La característica Credential Guard remoto de las conexiones RDP, cuando se usa con Windows 10 en Windows Server 2016 y versiones más recientes, puede generar alertas de B-TP.The Remote Credential Guard feature of RDP connections, when used with Windows 10 on Windows Server 2016 and newer, can cause B-TP alerts. Mediante las pruebas de alerta, compruebe si el usuario ha establecido una conexión de escritorio remoto desde el equipo de origen al de destino.Using the alert evidence, check if the user made a remote desktop connection from the source computer to the destination computer.

  1. Compruebe si hay pruebas correlativas.Check for correlating evidence.
  2. Si las hay, compruebe si la conexión RDP se ha establecido usando Credential Guard remoto.If there is correlating evidence, check if the RDP connection was made using Remote Credential Guard.
  3. Si la respuesta es sí, cierre la alerta de seguridad como actividad T-BP.If the answer is yes, Close the security alert as a T-BP activity.

Hay aplicaciones personalizadas que reenvían los vales en nombre de los usuarios.There are custom applications that forward tickets on behalf of users. Estas aplicaciones tienen derechos de delegación para vales de usuario.These applications have delegation rights to user tickets.

  1. ¿Existe un tipo de aplicación personalizada como la descrita anteriormente en este momento en los equipos de destino?Is a custom application type like the one previously described, currently on the destination computers? ¿Qué servicios ejecuta la aplicación?Which services is the application running? Los servicios que actúan en nombre de los usuarios, por ejemplo, ¿acceden a las bases de datos?Are the services acting on behalf of users, for example, accessing databases?
    • Si la respuesta es sí, cierre la alerta de seguridad como actividad T-BP.If the answer is yes, Close the security alert as a T-BP activity.
  2. ¿Es el equipo de destino un servidor de delegación?Is the destination computer a delegation server?
    • Si la respuesta es sí, cierre la alerta de seguridad y excluya ese equipo como actividad T-BP.If the answer is yes, Close the security alert, and exclude that computer as a T-BP activity.

Comprender el ámbito de la vulneración de seguridadUnderstand the scope of the breach

  1. Investigue los equipos de origen y de destino.Investigate the source and destination computers.
  2. Investigue el usuario en peligro.Investigate the compromised user.

Corrección sugerida y pasos de prevenciónSuggested remediation and steps for prevention

  1. Restablezca la contraseña del usuario de origen y habilite MFA, o bien, si ha configurado las directivas de usuario de alto riesgo relevantes en Azure Active Directory Identity Protection, puede usar la acción de confirmación de usuario en peligro en el portal de Cloud App Security.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Contenga los equipos de origen y de destino.Contain the source and destination computers.
  3. Busque la herramienta que realizó el ataque y quítela.Find the tool that performed the attack and remove it.
  4. Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora de la actividad, ya que también podrían verse comprometidos.Look for users logged on around the same time as the activity, as they may also be compromised. Restablezca las contraseñas y habilite MFA o, si ha configurado las directivas de usuario de alto riesgo relevantes en Azure Active Directory Identity Protection, puede usar la acción de confirmación de usuarios en peligro en el portal de Cloud App Security.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  5. Si ha instalado Microsoft Defender for Endpoint: use klist.exe purge para eliminar todos los vales de la sesión de inicio de sesión especificada y evitar que se usen en un futuro.If you have Microsoft Defender for Endpoint installed – use klist.exe purge to delete all the tickets of the specified logon session and prevent future usage of the tickets.

Sospecha de alteración de la autenticación NTLM (id. externo: 2039)Suspected NTLM authentication tampering (external ID 2039)

En junio de 2019, Microsoft publicó la vulnerabilidad de seguridad CVE-2019-1040, que anuncia la detección de una nueva vulnerabilidad de alteración en Microsoft Windows en la que un ataque de tipo "Man in the middle" es capaz de soslayar correctamente la protección MIC (comprobación de integridad de mensajes) de NTLM.In June 2019, Microsoft published Security Vulnerability CVE-2019-1040, announcing discovery of a new tampering vulnerability in Microsoft Windows, when a "man-in-the-middle" attack is able to successfully bypass NTLM MIC (Message Integrity Check) protection.

Un usuario malintencionado que aproveche correctamente esta vulnerabilidad tiene la capacidad de degradar las características de seguridad de NTLM y crear correctamente sesiones autenticadas en nombre de otras cuentas.Malicious actors that successfully exploit this vulnerability have the ability to downgrade NTLM security features, and may successfully create authenticated sessions on behalf of other accounts. Los servidores Windows sin revisar están en riesgo de sufrir esta vulnerabilidad.Unpatched Windows Servers are at risk from this vulnerability.

En esta detección, se desencadena una alerta de seguridad de Defender for IdentityDefender for Identity cuando se realizan solicitudes de autenticación NTLM sospechosas de aprovechar la vulnerabilidad de seguridad identificada en CVE-2019-1040 en un controlador de dominio de la red.In this detection, a Defender for IdentityDefender for Identity security alert is triggered when NTLM authentication requests suspected of exploiting security vulnerability identified in CVE-2019-1040 are made against a domain controller in the network.

Período de aprendizajeLearning period

No aplicableNot applicable

¿TP, B-TP o FP?TP, B-TP, or FP?

  1. ¿Los equipos implicados, incluidos los controladores de dominio, están actualizados y cuentan con la revisión pertinente para la vulnerabilidad CVE-2019-1040?Are the involved computers, including domain controllers, up-to-date and patched against CVE-2019-1040?
    • Si los equipos están actualizados y cuentan con la revisión pertinente, esperamos que se produzca un error en la autenticación.If the computers are up-to-date and patched, we expect the authentication to fail. Si la autenticación no se realiza, cierre la alerta de seguridad como un intento fallido.If the authentication ailed, Close the security alert as a failed attempt.

Comprender el ámbito de la vulneración de seguridadUnderstand the scope of the breach

  1. Investigue los equiposde origen.Investigate the source computers.
  2. Investigue la cuenta de origen.Investigate the source account.

Corrección sugerida y pasos de prevenciónSuggested remediation and steps for prevention

CorrecciónRemediation

  1. Contenga a los equipos de origen.Contain the source computers
  2. Busque la herramienta que realizó el ataque y quítela.Find the tool that performed the attack and remove it.
  3. Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora de la actividad, ya que también podrían estar en peligro.Look for users logged on around the same time as the activity occurred, as they may also be compromised. Restablezca las contraseñas y habilite MFA o, si ha configurado las directivas de usuario de alto riesgo relevantes en Azure Active Directory Identity Protection, puede usar la acción de confirmación de usuarios en peligro en el portal de Cloud App Security.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  4. Exija el uso de NTLMv2 sellado en el dominio con la directiva de grupo Seguridad de red: nivel de autenticación de LAN Manager.Force the use of sealed NTLMv2 in the domain, using the Network security: LAN Manager authentication level group policy. Para obtener más información, vea las instrucciones de nivel de autenticación de LAN Manager para configurar la directiva de grupo para controladores de dominio.For more information, see LAN Manager authentication level instructions for setting the group policy for domain controllers.

PrevenciónPrevention

  • Asegúrese de que todos los dispositivos del entorno estén actualizados y revisados según lo indicado en CVE-2019-1040.Make sure all devices in the environment are up-to-date, and patched against CVE-2019-1040.

Sospecha de ataque de retransmisión de NTLM (cuenta de Exchange, identificador externo 2037)Suspected NTLM relay attack (Exchange account) (external ID 2037)

DescripciónDescription

Una instancia de Exchange Server se puede configurar para desencadenar la autenticación NTLM con la cuenta de Exchange Server a un servidor HTTP remoto ejecutado por un atacante.An Exchange Server can be configured to trigger NTLM authentication with the Exchange Server account to a remote http server, run by an attacker. El servidor espera hasta que la comunicación de Exchange Server retransmita su propia autenticación confidencial a cualquier otro servidor (o, algo incluso más curioso, a Active Directory mediante LDAP) y, de esta forma, obtiene la información de autenticación.The server waits for the Exchange Server communication to relay its own sensitive authentication to any other server, or even more interestingly to Active Directory over LDAP, and grabs the authentication information.

Cuando el servidor de retransmisión recibe la autenticación NTLM, proporciona un desafío que ha creado originalmente el servidor de destino.Once the relay server receives the NTLM authentication, it provides a challenge that was originally created by the target server. El cliente responde al desafío, lo que impide que un atacante obtenga la respuesta, y lo usa para continuar con la negociación de NTLM con el controlador de dominio de destino.The client responds to the challenge, preventing an attacker from taking the response, and using it to continue NTLM negotiation with the target domain controller.

En esta detección, se desencadena una alerta cuando Defender for IdentityDefender for Identity identifica el uso de credenciales de cuenta de Exchange desde un origen sospechoso.In this detection, an alert is triggered when Defender for IdentityDefender for Identity identify use of Exchange account credentials from a suspicious source.

Período de aprendizajeLearning period

No aplicableNot applicable

¿TP, B-TP o FP?TP, B-TP, or FP?

  1. Compruebe los equipos de origen detrás de las direcciones IP.Check the source computers behind the IP addresses.
    1. Si el equipo de origen es una instancia de Exchange Server, cierre la alerta de seguridad como una actividad FP.If the source computer is an Exchange Server, Close the security alert as an FP activity.
    2. Determine si la cuenta de origen tiene que autenticarse mediante NTLM desde estos equipos.Determine if the source account should authenticate using NTLM from these computers? Si tiene que autenticarse, cierre la alerta de seguridad y excluya estos equipos como una actividad B-TP.If they should authenticate, Close the security alert, and exclude these computers as a B-TP activity.

Comprender el ámbito de la vulneración de seguridadUnderstand the scope of the breach

  1. Continúe investigando los equipos de origen detrás de las direcciones IP relacionadas.Continue investigating the source computers behind the IP addresses involved.
  2. Investigue la cuenta de origen.Investigate the source account.

Corrección sugerida y pasos de prevenciónSuggested remediation and steps for prevention

  1. Contenga a los equipos de origen.Contain the source computers
    1. Busque la herramienta que realizó el ataque y quítela.Find the tool that performed the attack and remove it.
    2. Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora de la actividad, ya que también podrían estar en peligro.Look for users logged on around the same time as the activity occurred, as they may also be compromised. Restablezca las contraseñas y habilite MFA o, si ha configurado las directivas de usuario de alto riesgo relevantes en Azure Active Directory Identity Protection, puede usar la acción de confirmación de usuarios en peligro en el portal de Cloud App Security.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Exija el uso de NTLMv2 sellado en el dominio con la directiva de grupo Seguridad de red: nivel de autenticación de LAN Manager.Force the use of sealed NTLMv2 in the domain, using the Network security: LAN Manager authentication level group policy. Para obtener más información, vea las instrucciones de nivel de autenticación de LAN Manager para configurar la directiva de grupo para controladores de dominio.For more information, see LAN Manager authentication level instructions for setting the group policy for domain controllers.

Sospecha de ataque overpass-the-hash (Kerberos) (id. externo 2002)Suspected overpass-the-hash attack (Kerberos) (external ID 2002)

Nombre anterior: Implementación no habitual del protocolo Kerberos (posible ataque Overpass-the-Hash)Previous name: Unusual Kerberos protocol implementation (potential overpass-the-hash attack)

DescripciónDescription

Los atacantes usan herramientas que implementan varios protocolos, como Kerberos y SMB, de formas no estándar.Attackers use tools that implement various protocols such as Kerberos and SMB in non-standard ways. Mientras que Microsoft Windows admite sin advertencias este tipo de tráfico de red, Defender for IdentityDefender for Identity puede reconocer posibles propósitos malintencionados.While Microsoft Windows accepts this type of network traffic without warnings, Defender for IdentityDefender for Identity is able to recognize potential malicious intent. El comportamiento es indicativo del uso de técnicas como over-pass-the-hash, fuerza bruta y vulnerabilidades de ransomware avanzado como WannaCry.The behavior is indicative of techniques such as over-pass-the-hash, Brute Force, and advanced ransomware exploits such as WannaCry, are used.

Período de aprendizajeLearning period

No aplicableNot applicable

¿TP, B-TP o FP?TP, B-TP, or FP?

A veces, las aplicaciones implementan su propia pila de Kerberos, en desacuerdo con la RFC de Kerberos.Sometimes applications implement their own Kerberos stack, not in accordance with the Kerberos RFC.

  1. Compruebe si el equipo de origen ejecuta una aplicación con su propia pila de Kerberos, que no cumple con la RFC de Kerberos.Check if the source computer is running an application with its own Kerberos stack, not in accordance with Kerberos RFC.
  2. Si el equipo de origen ejecuta este tipo de aplicación, y no debe hacerlo, corrija la configuración de la aplicación.If the source computer is running such an application, and it should not do this, fix the application configuration. Cierre la alerta de seguridad como actividad T-BP.Close the security alert as a T-BP activity.
  3. Si el equipo de origen ejecuta ese tipo de aplicación, y debe seguir haciéndolo, cierre la alerta de seguridad como actividad T-BP y excluya el equipo.If the source computer is running such an application and it should continue to do so, Close the security alert as a T-BP activity and exclude the computer.

Comprender el ámbito de la vulneración de seguridadUnderstand the scope of the breach

  1. Investigue el equipo de origen.Investigate the source computer.
  2. Si hay un usuario de origen, investigue.If there is a source user, investigate.

Corrección sugerida y pasos de prevenciónSuggested remediation and steps for prevention

  1. Restablezca las contraseñas de los usuarios en peligro y habilite MFA o, si ha configurado las directivas de usuario de alto riesgo relevantes en Azure Active Directory Identity Protection, puede usar la acción de confirmación de usuarios en peligro en el portal de Cloud App Security.Reset the passwords of the compromised users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Contenga al equipo de origen.Contain the source computer.
  3. Busque la herramienta que realizó el ataque y quítela.Find the tool that performed the attack and remove it.
  4. Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora de la actividad sospechosa, ya que también podrían verse comprometidos.Look for users logged on around the same time as the suspicious activity, as they may also be compromised. Restablezca las contraseñas y habilite MFA o, si ha configurado las directivas de usuario de alto riesgo relevantes en Azure Active Directory Identity Protection, puede usar la acción de confirmación de usuarios en peligro en el portal de Cloud App Security.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  5. Restablezca las contraseñas del usuario de origen y habilite MFA o, si ha configurado las directivas de usuario de alto riesgo relevantes en Azure Active Directory Identity Protection, puede usar la acción de confirmación de usuario en peligro en el portal de Cloud App Security.Reset the passwords of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

Uso de un certificado Kerberos sospechoso de no estar autorizado (id. externo 2047)Suspected rogue Kerberos certificate usage (external ID 2047)

DescripciónDescription

El ataque de certificados no autorizados es una técnica de persistencia que emplean los atacantes tras haber tomado el control de la organización.Rogue certificate attack is a persistence technique used by attackers after gaining control over the organization. Los atacantes ponen en peligro el servidor de la entidad de certificación (CA) y generan certificados que se pueden usar como cuentas de puerta trasera en futuros ataques.Attackers compromise the Certificate Authority (CA) server and generate certificates that can be used as backdoor accounts in future attacks.

Período de aprendizajeLearning period

No aplicableNot applicable

TP, B-TP o FPTP, B-TP, or FP

  • Determine si la cuenta inicia sesión regularmente en el equipo.Determine if the account regularly logs into the computer?
    • Si el certificado se usa habitualmente desde equipos, cierre la alerta como FP.If the certificate is regularly used from computers, Close the alert as an FP.

Comprender el ámbito de la vulneración de seguridadUnderstand the scope of the breach

  1. Investigue el equipo de origen.Investigate the source computer.
  2. Investigue el usuario de origen.Investigate the source user.
  3. Compruebe los recursos a los que se ha accedido correctamente e investigue.Check which resources were accessed successfully and investigate.

Corrección sugerida y pasos de prevenciónSuggested remediation and steps for prevention

  1. Restablezca la contraseña del usuario de origen y habilite MFA, o bien, si ha configurado las directivas de usuario de alto riesgo relevantes en Azure Active Directory Identity Protection, puede usar la acción de confirmación de usuario en peligro en el portal de Cloud App Security.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Contenga al equipo de origen.Contain the source computer
    • Busque la herramienta que realizó el ataque y quítela.Find the tool that performed the attack and remove it.
    • Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora de la actividad, ya que también podrían verse comprometidos.Look for users logged on around the same time as the activity, as they may also be compromised. Restablezca las contraseñas y habilite MFA o, si ha configurado las directivas de usuario de alto riesgo relevantes en Azure Active Directory Identity Protection, puede usar la acción de confirmación de usuarios en peligro en el portal de Cloud App Security.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. Busque el certificado que se usa en el servidor de CA y revóquelo mediante la invalidación de TLS/SSL antes de la fecha de expiración programada.Find the certificate used in the CA server and revoke the certificate by invalidating the TLS/SSL before its scheduled expiration date.

Sospecha de manipulación de paquetes SMB (vulnerabilidad CVE-2020-0796): (versión preliminar) (id. externo 2406)Suspected SMB packet manipulation (CVE-2020-0796 exploitation) - (preview) (external ID 2406)

DescripciónDescription

El 12 de marzo de 2020, Microsoft hizo pública la vulnerabilidad CVE-2020-0796. En dicha comunicación, se anunció que existía una nueva vulnerabilidad de ejecución de código de forma remota en el modo en el que el protocolo Bloque de mensajes de servidor 3.1.1 (SMBv3) de Microsoft controla ciertas solicitudes.03/12/2020 Microsoft published CVE-2020-0796, announcing that a newly remote code execution vulnerability exists in the way that the Microsoft Server Message Block 3.1.1 (SMBv3) protocol handles certain requests. Un atacante que se hubiera aprovechado con éxito de la vulnerabilidad podía llegar a ejecutar código en el cliente o servidor de destino.An attacker who successfully exploited the vulnerability could gain the ability to execute code on the target server or client. Los servidores Windows sin revisar están en riesgo de sufrir esta vulnerabilidad.Unpatched Windows servers are at risk from this vulnerability.

En esta detección, se desencadena una alerta de seguridad de Defender for IdentityDefender for Identity cuando se sospecha que un paquete de SMBv3 se está aprovechando de la vulnerabilidad de seguridad CVE-2020-0796 sobre un controlador de dominio de la red.In this detection, a Defender for IdentityDefender for Identity security alert is triggered when SMBv3 packet suspected of exploiting the CVE-2020-0796 security vulnerability are made against a domain controller in the network.

Período de aprendizajeLearning period

No aplicableNot applicable

¿TP, B-TP o FP?TP, B-TP, or FP?

  1. ¿Los controladores de dominio implicados están actualizados y cuentan con la revisión pertinente para la vulnerabilidad CVE-2020-0796?Are the involved domain controllers up-to-date and patched against CVE-2020-0796?
    • Si los equipos están actualizados y cuentan con la revisión pertinente, esperamos que el ataque no llegue a efectuarse y que la alerta de seguridad quede cerrada como intento sin éxito.If the computers are up-to-date and patched, we expect the attack to fail, Close the security alert as a failed attempt.

Comprender el ámbito de la vulneración de seguridadUnderstand the scope of the breach

  1. Investigue el equipo de origen.Investigate the source computer.
  2. Investigue el controlador de dominio de destino.Investigate the destination DC.

Corrección sugerida y pasos de prevenciónSuggested remediation and steps for prevention

CorrecciónRemediation

  1. Contenga al equipo de origen.Contain the source computer.
  2. Busque la herramienta que realizó el ataque y quítela.Find the tool that performed the attack and remove it.
  3. Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora de la actividad sospechosa, ya que también podrían verse comprometidos.Look for users logged on around the same time as the suspicious activity, as they may also be compromised. Restablezca las contraseñas y habilite MFA o, si ha configurado las directivas de usuario de alto riesgo relevantes en Azure Active Directory Identity Protection, puede usar la acción de confirmación de usuarios en peligro en el portal de Cloud App Security.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  4. Si sus equipos cuentan con sistemas operativos que no admiten KB4551762, recomendamos deshabilitar la característica de compresión de SMBv3 en el entorno, como se describe en la sección Soluciones alternativas.If your have computers with operating systems that don't support KB4551762, we recommend disabling the SMBv3 compression feature in the environment, as described in the Workarounds section.

PrevenciónPrevention

  1. Asegúrese de que todos los dispositivos del entorno estén actualizados y cuenten con la revisión pertinente para la vulnerabilidad CVE-2020-0796.Make sure all devices in the environment are up-to-date, and patched against CVE-2020-0796.

Consulte tambiénSee Also