Tema 22

22. Active Directory: enumeración, ataques comunes y rutas de privilegio

Active Directory centraliza identidades, equipos, permisos y políticas en muchas organizaciones. Por eso, un error de delegación, una credencial débil o una ruta de privilegio mal entendida puede comprometer gran parte del entorno.

Objetivo Comprender riesgos y rutas de privilegio en AD
Enfoque Enumeración, Kerberos, permisos y delegaciones
Resultado Priorizar hallazgos que comprometen identidad corporativa

22.1 Introducción

Active Directory, o AD, es una pieza central en muchos entornos Windows corporativos. Administra usuarios, grupos, equipos, políticas, autenticación y relaciones de confianza. Si AD se compromete, el impacto puede ser organizacional.

En pentesting, evaluar AD no significa solamente buscar vulnerabilidades técnicas. Muchas rutas de ataque surgen por permisos acumulados, delegaciones mal diseñadas, contraseñas débiles, grupos excesivos, cuentas de servicio y falta de segmentación administrativa.

Este tema presenta una visión profesional de enumeración, ataques comunes y rutas de privilegio, siempre dentro de un marco autorizado y con cuidado sobre credenciales y datos sensibles.

22.2 Conceptos básicos de Active Directory

Antes de evaluar AD, hay que comprender sus componentes principales.

Elemento Descripción Riesgo típico
Dominio Unidad lógica de administración Confianza amplia entre identidades y recursos
Controlador de dominio Servidor que autentica y replica directorio Activo crítico de máxima prioridad
Usuario Identidad de persona o servicio Credenciales débiles o permisos excesivos
Grupo Conjunto de identidades con permisos comunes Escalada por membresías anidadas
GPO Política aplicada a usuarios y equipos Configuraciones inseguras a escala
OU Contenedor organizativo Delegaciones mal asignadas

22.3 Kerberos, NTLM y LDAP

AD se apoya en varios protocolos. Entenderlos ayuda a interpretar hallazgos.

  • Kerberos: protocolo principal de autenticación en dominios modernos.
  • NTLM: mecanismo heredado que aún aparece por compatibilidad.
  • LDAP: protocolo para consultar y modificar información del directorio.
  • SMB: acceso a recursos compartidos y administración en entornos Windows.
  • DNS: esencial para localizar controladores de dominio y servicios.
Muchas debilidades de AD no son fallas del protocolo, sino configuraciones permisivas, malas delegaciones o credenciales débiles.

22.4 Enumeración inicial del dominio

La enumeración inicial busca entender estructura, usuarios, grupos, equipos, controladores de dominio y relaciones. Debe realizarse con cuentas autorizadas y sin generar carga innecesaria.

  • Nombre del dominio y bosque.
  • Controladores de dominio.
  • Usuarios y grupos relevantes.
  • Equipos y servidores críticos.
  • Políticas aplicadas.
  • Cuentas de servicio.
  • Relaciones de confianza.

22.5 Usuarios y grupos privilegiados

Los grupos privilegiados son objetivos de alto valor porque concentran capacidades administrativas.

Grupo Privilegio Riesgo
Domain Admins Administración del dominio Compromiso amplio del entorno
Enterprise Admins Administración del bosque Impacto en múltiples dominios
Administrators Administración local o de dominio según contexto Control de sistemas críticos
Account Operators Gestión de cuentas Abuso de creación o modificación de usuarios
Backup Operators Acceso a datos para respaldo Lectura de información sensible

22.6 Cuentas de servicio

Las cuentas de servicio suelen ejecutar aplicaciones, tareas o integraciones. Son riesgosas cuando tienen contraseñas débiles, privilegios excesivos o no rotan sus secretos.

  • Identificar cuentas con Service Principal Names.
  • Revisar privilegios y membresías.
  • Verificar si tienen contraseña sin expiración.
  • Analizar si son administradoras locales en servidores.
  • Revisar si usan Managed Service Accounts cuando corresponde.
  • Evitar probar credenciales sin autorización.

22.7 Kerberoasting como riesgo

Kerberoasting aprovecha el hecho de que cualquier usuario autenticado puede solicitar tickets de servicio para cuentas con SPN. Si la contraseña de la cuenta de servicio es débil, podría recuperarse offline.

En un pentest profesional, su validación debe estar autorizada porque involucra material criptográfico y pruebas de fuerza offline.

  • Identificar cuentas con SPN.
  • Evaluar privilegios de esas cuentas.
  • Revisar política de contraseñas y rotación.
  • Preferir evidencia de exposición y riesgo si no se permite cracking.
  • Recomendar gMSA o contraseñas largas y rotadas.
El riesgo de Kerberoasting aumenta cuando cuentas de servicio tienen privilegios altos y contraseñas humanas o reutilizadas.

22.8 AS-REP Roasting como riesgo

AS-REP Roasting afecta cuentas configuradas sin preautenticación Kerberos. Esa configuración permite obtener material que podría ser atacado offline si la contraseña es débil.

Aspectos a revisar:

  • Cuentas con preautenticación deshabilitada.
  • Privilegios de esas cuentas.
  • Antigüedad y uso de la cuenta.
  • Política de contraseña aplicada.
  • Necesidad real de esa excepción.

22.9 Delegaciones y permisos peligrosos

AD permite delegar permisos sobre objetos. Una delegación mal asignada puede permitir cambiar contraseñas, modificar grupos, controlar equipos o alterar GPO.

Permiso Riesgo Ejemplo de impacto
GenericAll Control amplio del objeto Modificar usuario, grupo o equipo
GenericWrite Modificar atributos Agregar SPN o cambiar propiedades sensibles
WriteDACL Modificar permisos Concederse control adicional
WriteOwner Cambiar propietario Tomar control indirecto
AddMember Agregar miembros a grupo Escalar a grupo privilegiado

22.10 GPO y rutas de privilegio

Las Group Policy Objects pueden configurar muchos equipos y usuarios. Controlar una GPO aplicada a servidores o administradores puede tener impacto alto.

  • Identificar GPO aplicadas a OUs críticas.
  • Revisar quién puede editar cada GPO.
  • Analizar scripts de inicio o cierre de sesión.
  • Revisar preferencias antiguas y secretos históricos.
  • Validar impacto sin modificar políticas productivas.
  • Documentar ruta de privilegio si existe control sobre GPO sensible.

22.11 Admin local y reutilización de credenciales

Una cuenta con privilegios locales en varios equipos puede permitir movimiento lateral. La reutilización de contraseñas de administrador local es un problema histórico en entornos Windows.

Buenas prácticas de evaluación:

  • Identificar administradores locales autorizados.
  • Verificar si existe LAPS o Windows LAPS.
  • No probar credenciales en masa sin permiso.
  • Documentar exposición si una cuenta tiene alcance excesivo.
  • Recomendar contraseñas locales únicas y rotadas.

22.12 BloodHound y análisis de grafos

BloodHound permite analizar relaciones en AD como un grafo: usuarios, grupos, equipos, sesiones, ACL y rutas hacia privilegios. Es útil para visualizar cadenas de ataque que no son evidentes manualmente.

Uso responsable:

  • Recolectar solo datos autorizados.
  • Coordinar con defensas si la recolección puede generar alertas.
  • Proteger la base de datos resultante porque contiene información sensible.
  • Validar manualmente rutas críticas antes de reportarlas.
  • Explicar impacto y remediación, no solo mostrar un grafo.
Un grafo de AD es información sensible. Debe manejarse como evidencia crítica del proyecto.

22.13 Sesiones y exposición de administradores

Si administradores inician sesión en equipos de menor confianza, pueden dejar sesiones, tokens o credenciales expuestas. Esto permite rutas de privilegio desde estaciones comprometidas.

  • Identificar dónde inician sesión usuarios privilegiados.
  • Separar estaciones administrativas de estaciones comunes.
  • Revisar uso de jump servers o PAW.
  • Evitar recolectar credenciales en memoria sin autorización explícita.
  • Recomendar tiering administrativo.

22.14 Trusts entre dominios

Las relaciones de confianza permiten acceso entre dominios o bosques. Si no se entienden correctamente, pueden ampliar el impacto de un compromiso.

  • Identificar trusts existentes.
  • Revisar dirección y tipo de confianza.
  • Evaluar si hay usuarios con privilegios cruzados.
  • Validar alcance antes de probar otro dominio.
  • Documentar rutas potenciales sin exceder permiso.

22.15 Políticas de contraseña y bloqueo

Las políticas de contraseña y bloqueo influyen en riesgo de credenciales.

Control Riesgo si es débil Recomendación
Longitud mínima Contraseñas fáciles de adivinar Favorecer longitud y bloqueo de contraseñas comunes
Bloqueo de cuenta Fuerza bruta online Umbrales razonables y monitoreo
Contraseñas filtradas Credential stuffing Bloquear credenciales conocidas como comprometidas
MFA Abuso de credenciales válidas Aplicar en accesos privilegiados y remotos
Rotación de cuentas de servicio Secretos antiguos reutilizados gMSA o rotación controlada

22.16 DNS, SYSVOL y recursos compartidos

AD depende fuertemente de DNS y recursos compartidos como SYSVOL. Estos componentes pueden revelar información útil o configuraciones inseguras.

  • Registros DNS de controladores y servicios.
  • Scripts de inicio en SYSVOL.
  • Políticas y preferencias históricas.
  • Recursos compartidos con permisos excesivos.
  • Archivos de configuración con credenciales.

La evidencia debe ser mínima y no copiar contenido sensible completo.

22.17 Certificados y AD CS

Active Directory Certificate Services puede introducir rutas de privilegio si las plantillas de certificados están mal configuradas. Es un área avanzada y muy relevante.

  • Plantillas que permiten enrolamiento indebido.
  • Posibilidad de especificar nombres alternativos peligrosos.
  • Permisos excesivos sobre plantillas.
  • Certificados usados para autenticación.
  • Autoridades certificadoras sin controles adecuados.

La validación debe ser cuidadosa porque puede emitir credenciales válidas de alto impacto.

22.18 Rutas de privilegio

Una ruta de privilegio es una cadena de relaciones que permite pasar de una cuenta o equipo inicial hacia un objetivo privilegiado. No siempre implica vulnerabilidades técnicas clásicas.

  • Usuario con permiso sobre grupo.
  • Grupo con admin local en servidor.
  • Servidor con sesión de administrador.
  • Cuenta de servicio con SPN y privilegios altos.
  • GPO editable aplicada a equipos críticos.
  • Delegación que permite modificar atributos sensibles.
En AD, el riesgo más importante suele estar en cadenas de permisos, no en un único hallazgo aislado.

22.19 Evidencia en hallazgos de AD

La evidencia debe demostrar la ruta o condición de riesgo sin exponer credenciales ni modificar objetos críticos.

  • Objeto afectado.
  • Permiso o relación peligrosa.
  • Cuenta o grupo que posee el permiso.
  • Ruta hacia privilegio.
  • Impacto potencial.
  • Capturas o exportaciones protegidas.
  • Limitaciones de validación.

22.20 Remediación de Active Directory

La remediación debe reducir privilegios, cortar rutas y mejorar higiene de identidad.

  • Revisar membresías de grupos privilegiados.
  • Eliminar delegaciones innecesarias.
  • Aplicar tiering administrativo.
  • Usar LAPS o Windows LAPS para administradores locales.
  • Rotar y fortalecer cuentas de servicio.
  • Revisar GPO y permisos sobre OUs.
  • Auditar AD CS y plantillas de certificados.
  • Monitorear cambios en grupos críticos.

22.21 Errores frecuentes

  • Recolectar información de AD sin proteger el dataset.
  • Probar ataques de credenciales sin autorización explícita.
  • Modificar objetos de AD para demostrar impacto sin aprobación.
  • Reportar rutas de BloodHound sin validación contextual.
  • Ignorar cuentas de servicio con privilegios excesivos.
  • No revisar GPO, delegaciones y grupos anidados.
  • Tratar Domain Admin como único objetivo relevante.
  • No diferenciar hallazgos teóricos de rutas realmente explotables.

22.22 Flujo práctico de evaluación AD

Un flujo responsable puede ser:

  1. Confirmar alcance: dominio, cuentas, hosts y técnicas permitidas.
  2. Identificar controladores, DNS y estructura del dominio.
  3. Enumerar usuarios, grupos, equipos y GPO con cuenta autorizada.
  4. Revisar grupos privilegiados y membresías anidadas.
  5. Analizar cuentas de servicio, SPN y políticas de contraseña.
  6. Evaluar delegaciones, ACL y rutas de privilegio.
  7. Revisar sesiones, admin local y exposición de credenciales.
  8. Usar análisis de grafos si está autorizado.
  9. Validar manualmente rutas críticas sin modificar objetos.
  10. Documentar impacto y remediación.

22.23 Qué debes recordar de este tema

  • Active Directory concentra identidad y permisos, por eso su impacto es organizacional.
  • La enumeración de AD debe protegerse porque revela estructura sensible.
  • Kerberoasting y AS-REP Roasting son riesgos ligados a credenciales y configuración.
  • Las rutas de privilegio suelen surgir por delegaciones, grupos y sesiones.
  • BloodHound ayuda a visualizar rutas, pero requiere validación contextual.
  • La remediación debe reducir privilegios y cortar cadenas, no solo corregir un objeto.

22.24 Conclusión

Active Directory es uno de los entornos más importantes en pentesting corporativo. Evaluarlo correctamente exige entender identidad, permisos, Kerberos, delegaciones, GPO y relaciones de confianza.

En el próximo tema veremos seguridad de redes inalámbricas: WPA, rogue AP, evil twin y auditoría Wi-Fi, siempre bajo autorización y con control del entorno de prueba.

Volver al índice