⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
As redefinições de senha costumam ser a primeira resposta a uma suspeita de comprometimento. Faz sentido; redefinir credenciais é uma maneira rápida de bloquear o caminho mais óbvio de retorno de um invasor.
No entanto, isso nem sempre resolve completamente o problema. Nos ambientes do Active Directory (AD) e do Entra ID híbrido, as alterações de senha não invalidam imediatamente a credencial antiga em todos os caminhos de autenticação.
Mesmo uma janela curta é uma oportunidade que potencialmente permite que os invasores mantenham o acesso ou restabeleçam uma posição segura.
Para arquitetos de segurança e administradores de TI, esta lacuna tem implicações reais durante a resposta a incidentes.
A lacuna de redefinição de senha
Os sistemas Windows armazenam hashes de senha em cache localmente para oferecer suporte ao logon offline. Se um dispositivo não tiver se reconectado ao domínio, ele ainda poderá manter a credencial anterior em um formato utilizável. Em ambientes híbridos, também pode haver um pequeno atraso antes que a nova senha seja sincronizada com o Entra ID.
Isso significa que existem três estados possíveis criados após uma redefinição de senha:
1. O usuário efetuou login com a nova credencial enquanto estava conectado ao AD. O armazenamento de credenciais em cache é atualizado, invalidando o hash antigo.
2. O usuário não efetuou login em uma máquina específica desde a redefinição. A antiga credencial armazenada em cache ainda pode ser usada para determinadas tentativas de autenticação.
3. Em implantações híbridas, a senha foi redefinida no AD, mas o novo hash ainda não foi sincronizado com o Entra ID. A senha antiga ainda pode ser autenticada durante o intervalo de sincronização do hash de senha.
Proteja suas senhas do Active Directory com a Política de Senha Specops
O Relatório de investigação de violação de dados da Verizon descobriu que credenciais roubadas estão envolvidas em 44,7% das violações.
Proteja facilmente o Active Directory com políticas de senha compatíveis, bloqueando mais de 4 bilhões de senhas comprometidas, aumentando a segurança e reduzindo os problemas de suporte!
Experimente gratuitamente
Como os invasores exploram a lacuna
Credenciais armazenadas em cache
Os invasores aproveitam os hashes de senha armazenados em cache com métodos como pass-the-hash, onde o próprio hash é usado em vez da senha em texto simples. Se esse hash foi capturado antes da redefinição, alterar a senha não a invalida imediatamente em todos os lugares.
Limitar essa exposição é crucial para defender os ambientes AD. Soluções como Specops uReset permitem redefinições de senha de autoatendimento seguras, aplicando a verificação de ID do usuário final para reduzir o risco de abuso de redefinição.
Quando combinado com o Specops Client, o uReset pode atualizar o armazenamento de credenciais em cache local imediatamente no dispositivo onde a redefinição é realizada, fechando a janela onde o hash antigo permanece utilizável naquele endpoint.
Isso não elimina totalmente o desvio de identidade, mas reduz a exposição na borda da rede, onde laptops corporativos e sistemas remotos são frequentemente visados.
Especificações uReset
Sessões ativas
A autenticação do AD é gerenciada principalmente por meio de tickets Kerberos, que são válidos por um determinado período de tempo. Se um usuário ou invasor já tiver um ticket válido, ele poderá continuar acessando os recursos sem digitar novamente uma senha.
Isso significa que um invasor com uma sessão ativa permanece autenticado mesmo após a alteração da senha. Em alguns casos, essa janela é longa o suficiente para estabelecer persistência adicional ou mover-se lateralmente.
A menos que as sessões sejam explicitamente invalidadas, por meio de logoff, reinicialização ou eliminação de tickets, o acesso poderá continuar muito além da própria redefinição.
Contas de serviço
Ao contrário das contas de usuário, as contas de serviço tendem a ter senhas de longa duração, com privilégios elevados vinculados a sistemas críticos. Os invasores podem expor essas credenciais por meio de técnicas como Kerberoasting ou descobri-las ao se moverem lateralmente por uma rede.
Como essas contas estão vinculadas a serviços em execução, é menos provável que sejam redefinidas rapidamente, especialmente se houver risco de interrupção. Isso os torna um substituto confiável para invasores após o fechamento de um ponto de acesso inicial.
Ataques de tickets
Conforme mencionado acima, em ambientes que utilizam o protocolo de autenticação Kerberos, o acesso é controlado por meio de tickets, em vez de repetidas verificações de senha. Se um invasor conseguir falsificar esses tickets, ele não precisará de credenciais válidas.
Um ataque Golden Ticket, possibilitado pelo comprometimento da conta Kerberos Ticket Granting Ticket, permite que invasores criem tickets válidos de concessão de tickets para qualquer usuário no domínio. Os Silver Tickets são mais direcionados, concedendo acesso a serviços específicos sem entrar em contato com um controlador de domínio.
Em ambos os casos, esses ataques ignoram efetivamente as alterações de senha. A redefinição de senhas de usuários não invalidará tickets falsificados e o acesso poderá continuar até que o problema subjacente seja resolvido.
Permissões
O AD é fortemente orientado por Listas de Controle de Acesso (ACLs). Se um invasor conceder direitos a uma conta comprometida (ou a uma nova que ele controla), como redefinir senhas para outros usuários, ele terá efeito efetivo.
No entanto, isso nem sempre resolve completamente o problema. Nos ambientes do Active Directory (AD) e do Entra ID híbrido, as alterações de senha não invalidam imediatamente a credencial antiga em todos os caminhos de autenticação.
Mesmo uma janela curta é uma oportunidade que potencialmente permite que os invasores mantenham o acesso ou restabeleçam uma posição segura.
Para arquitetos de segurança e administradores de TI, esta lacuna tem implicações reais durante a resposta a incidentes.
A lacuna de redefinição de senha
Os sistemas Windows armazenam hashes de senha em cache localmente para oferecer suporte ao logon offline. Se um dispositivo não tiver se reconectado ao domínio, ele ainda poderá manter a credencial anterior em um formato utilizável. Em ambientes híbridos, também pode haver um pequeno atraso antes que a nova senha seja sincronizada com o Entra ID.
Isso significa que existem três estados possíveis criados após uma redefinição de senha:
1. O usuário efetuou login com a nova credencial enquanto estava conectado ao AD. O armazenamento de credenciais em cache é atualizado, invalidando o hash antigo.
2. O usuário não efetuou login em uma máquina específica desde a redefinição. A antiga credencial armazenada em cache ainda pode ser usada para determinadas tentativas de autenticação.
3. Em implantações híbridas, a senha foi redefinida no AD, mas o novo hash ainda não foi sincronizado com o Entra ID. A senha antiga ainda pode ser autenticada durante o intervalo de sincronização do hash de senha.
Proteja suas senhas do Active Directory com a Política de Senha Specops
O Relatório de investigação de violação de dados da Verizon descobriu que credenciais roubadas estão envolvidas em 44,7% das violações.
Proteja facilmente o Active Directory com políticas de senha compatíveis, bloqueando mais de 4 bilhões de senhas comprometidas, aumentando a segurança e reduzindo os problemas de suporte!
Experimente gratuitamente
Como os invasores exploram a lacuna
Credenciais armazenadas em cache
Os invasores aproveitam os hashes de senha armazenados em cache com métodos como pass-the-hash, onde o próprio hash é usado em vez da senha em texto simples. Se esse hash foi capturado antes da redefinição, alterar a senha não a invalida imediatamente em todos os lugares.
Limitar essa exposição é crucial para defender os ambientes AD. Soluções como Specops uReset permitem redefinições de senha de autoatendimento seguras, aplicando a verificação de ID do usuário final para reduzir o risco de abuso de redefinição.
Quando combinado com o Specops Client, o uReset pode atualizar o armazenamento de credenciais em cache local imediatamente no dispositivo onde a redefinição é realizada, fechando a janela onde o hash antigo permanece utilizável naquele endpoint.
Isso não elimina totalmente o desvio de identidade, mas reduz a exposição na borda da rede, onde laptops corporativos e sistemas remotos são frequentemente visados.
Especificações uReset
Sessões ativas
A autenticação do AD é gerenciada principalmente por meio de tickets Kerberos, que são válidos por um determinado período de tempo. Se um usuário ou invasor já tiver um ticket válido, ele poderá continuar acessando os recursos sem digitar novamente uma senha.
Isso significa que um invasor com uma sessão ativa permanece autenticado mesmo após a alteração da senha. Em alguns casos, essa janela é longa o suficiente para estabelecer persistência adicional ou mover-se lateralmente.
A menos que as sessões sejam explicitamente invalidadas, por meio de logoff, reinicialização ou eliminação de tickets, o acesso poderá continuar muito além da própria redefinição.
Contas de serviço
Ao contrário das contas de usuário, as contas de serviço tendem a ter senhas de longa duração, com privilégios elevados vinculados a sistemas críticos. Os invasores podem expor essas credenciais por meio de técnicas como Kerberoasting ou descobri-las ao se moverem lateralmente por uma rede.
Como essas contas estão vinculadas a serviços em execução, é menos provável que sejam redefinidas rapidamente, especialmente se houver risco de interrupção. Isso os torna um substituto confiável para invasores após o fechamento de um ponto de acesso inicial.
Ataques de tickets
Conforme mencionado acima, em ambientes que utilizam o protocolo de autenticação Kerberos, o acesso é controlado por meio de tickets, em vez de repetidas verificações de senha. Se um invasor conseguir falsificar esses tickets, ele não precisará de credenciais válidas.
Um ataque Golden Ticket, possibilitado pelo comprometimento da conta Kerberos Ticket Granting Ticket, permite que invasores criem tickets válidos de concessão de tickets para qualquer usuário no domínio. Os Silver Tickets são mais direcionados, concedendo acesso a serviços específicos sem entrar em contato com um controlador de domínio.
Em ambos os casos, esses ataques ignoram efetivamente as alterações de senha. A redefinição de senhas de usuários não invalidará tickets falsificados e o acesso poderá continuar até que o problema subjacente seja resolvido.
Permissões
O AD é fortemente orientado por Listas de Controle de Acesso (ACLs). Se um invasor conceder direitos a uma conta comprometida (ou a uma nova que ele controla), como redefinir senhas para outros usuários, ele terá efeito efetivo.
#samirnews #samir #news #boletimtec #por #que #a #alteração #de #senhas #não #encerra #uma #violação #do #active #directory
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário