A segurança de perímetro, como conceito isolado, está morta. A única estratégia defensável hoje é a de violação assumida (assumed breach). Uma vez que um ator malicioso estabelece um ponto de apoio na rede — seja por meio de credenciais comprometidas, uma vulnerabilidade explorada ou erro humano — o foco do ataque se desloca imediatamente para o sistema nervoso central digital da organização: o Active Directory (AD). O AD não é apenas um diretório de usuários; é o cofre que guarda as chaves de todo o reino, gerenciando identidades, permissões e acesso a todos os recursos críticos. Para um invasor, dominar o AD é dominar a empresa.
Este artigo disseca, com base em cenários de ataque reais, como vulnerabilidades de configuração em contas de serviço (Kerberoasting) e falhas nos Serviços de Certificados do Active Directory (AD CS) se tornam as principais avenidas para a escalada de privilégios e o comprometimento total da rede interna.
A Ilusão do Perímetro Seguro: Por Que as Defesas Externas Não Bastam
Uma estratégia de defesa focada exclusivamente em fortalecer as fronteiras externas opera sob uma premissa perigosa: a de que é possível impedir todas as tentativas de entrada. A conclusão é inequívoca: as brechas são inevitáveis. De acordo com o relatório “State of Ransomware” da Sophos, quase dois terços das organizações foram expostas a ataques de ransomware devido a lacunas de segurança preexistentes. A análise das causas-raiz técnicas reforça essa realidade: vulnerabilidades expostas e credenciais comprometidas são os vetores mais comuns que permitem o acesso inicial. O fato é que, independentemente da robustez do seu firewall ou das defesas de e-mail, um adversário determinado eventualmente encontrará um caminho para dentro. A verdadeira resiliência não é medida pela capacidade de evitar uma violação, mas pela capacidade de detectá-la, contê-la e erradicá-la antes que se transforme em um incidente catastrófico.
O Primeiro Passo do Invasor: Obtendo Acesso Inicial na Rede Interna
Um Pentest Interno da Sophos simula exatamente o que acontece após uma violação de perímetro. O primeiro passo, como demonstrado em nossos testes, é quase sempre a busca por uma credencial de baixo privilégio. Uma técnica clássica para isso é o envenenamento dos protocolos de resolução de nomes locais, como LLMNR e NBT-NS.
Quando um sistema Windows falha em resolver um nome de host via DNS, ele recorre a esses protocolos, transmitindo uma solicitação em broadcast para toda a rede local. Um invasor, posicionado na mesma rede, pode usar ferramentas como o Responder para envenenar essas solicitações, afirmando ser o recurso procurado. A máquina da vítima, então, tenta se autenticar no sistema do invasor, enviando o hash de autenticação (NTLMv2) do usuário. Esse hash, embora não seja a senha em texto plano, pode ser capturado e submetido a ataques de força bruta offline. A captura de um único hash de um usuário de domínio padrão, como john.smith em nossos testes, é frequentemente o ponto de partida para ataques de escalada de privilégios muito mais devastadores.
Deep Dive Técnico: Kerberoasting — O Calcanhar de Aquiles das Contas de Serviço
A seguir, dissecamos duas técnicas de escalada de privilégios que nossa equipe da Sophos Red Team identifica consistentemente em ambientes corporativos, ambas detalhadas em nossos relatórios de testes de penetração. A primeira, Kerberoasting, explora a forma como o protocolo Kerberos gerencia a autenticação para contas de serviço.
1. O que são Service Principal Names (SPNs)? Um Service Principal Name (SPN) é um identificador único para uma instância de serviço, associando um serviço (como um banco de dados SQL) a uma conta de logon no Active Directory. Essa associação permite que clientes solicitem tickets de autenticação Kerberos para acessar o serviço.
2. Como o Ataque Funciona: Qualquer usuário autenticado no domínio pode solicitar um Ticket de Concessão de Serviço (TGS) para qualquer serviço com um SPN. Usando ferramentas padrão como o GetUserSPNs do Impacket, um invasor com credenciais de baixo privilégio consulta o AD por contas com SPNs e solicita um TGS para cada uma. O controlador de domínio retorna esses tickets, criptografados com o hash da senha da conta de serviço associada.
3. A Vulnerabilidade Central: A falha crítica reside na capacidade de levar esses tickets para um ambiente offline e usar força bruta para quebrar a senha. O risco é amplificado pelo fato de que contas de serviço, como a svc-sqlservice identificada em nossos relatórios, frequentemente possuem senhas fracas que não expiram. Criticamente, é comum que essas mesmas contas sejam configuradas com privilégios de Administrador de Domínio (Domain Admin) para garantir a funcionalidade do serviço, transformando uma senha fraca em um caminho direto para o comprometimento total do domínio.
Deep Dive Técnico: Abuso de AD CS para Escalada e Persistência
A segunda técnica explora configurações incorretas no Active Directory Certificate Services (AD CS), um componente poderoso para gerenciar a infraestrutura de chave pública (PKI) de uma organização.
1. A Falha de Configuração (ESC1): A coleta de dados sobre o AD CS, utilizando ferramentas como o Certipy, frequentemente revela uma vulnerabilidade de escalada crítica conhecida como ESC1. A vulnerabilidade surge de uma combinação tóxica de três permissões no template do certificado:
- Autenticação de Cliente Habilitada: O certificado pode ser usado para provar identidade.
- Solicitante Fornece o Assunto: O atacante pode reivindicar qualquer identidade que desejar no pedido do certificado.
- Inscrição Aberta a Contas de Baixo Privilégio: Um grupo amplo como “Computadores do Domínio” tem permissão para solicitar esses certificados.
Em essência, isso transforma a Autoridade Certificadora em um “cartório digital” falho, que emite passaportes (certificados) em nome de qualquer pessoa (um Administrador de Domínio) para qualquer um que peça (uma máquina controlada pelo invasor), sem verificar a identidade do solicitante.
2. O Caminho do Ataque: Um invasor com credenciais de usuário padrão explora isso da seguinte forma: primeiro, ele usa o privilégio padrão que permite a qualquer usuário de domínio adicionar até 10 máquinas ao Active Directory para registrar um computador sob seu controle. Em seguida, usando as credenciais desta nova máquina, ele solicita um certificado em nome de um Administrador de Domínio. Por fim, ele usa este certificado para se autenticar como o administrador, efetivamente escalando seus privilégios e obtendo controle total.
Recomendações Críticas para Fortalecer a Resiliência do seu Active Directory
A mitigação dos riscos de movimento lateral discutidos depende da implementação de três controles fundamentais e inegociáveis:
- Desative o LLMNR e o NBT-NS: Esses protocolos legados de resolução de nomes são vetores primários para ataques de envenenamento. Desativá-los via Group Policy (GPO) remove a superfície de ataque inicial que permitiu a captura do hash do usuário
john.smith, que serviu como ponto de partida para a escalada de privilégios. - Exija a Assinatura SMB (SMB Signing): Esta configuração de segurança previne ataques de retransmissão (relay attacks), onde credenciais capturadas são retransmitidas para se autenticar em outros sistemas. Quando exigida, cada pacote SMB é assinado digitalmente, bloqueando um método chave de movimento lateral.
- Implemente Group Managed Service Accounts (gMSA): As gMSAs são contas de serviço gerenciadas pelo AD, com senhas longas, complexas e rotacionadas automaticamente. Isso neutraliza diretamente o ataque de Kerberoasting demonstrado contra a conta
svc-sqlservice, eliminando senhas estáticas e fracas como um vetor de ataque.
A Abordagem Proativa: Identificando as Fraquezas Antes do Ataque
As vulnerabilidades técnicas, como as de Kerberoasting e AD CS, não são teóricas; são brechas ativas que adversários exploram diariamente. Um Internal Infrastructure Assessment, ou Pentest Interno, é o serviço projetado exatamente para testar suas defesas. Ele simula um invasor que já violou o perímetro, com o objetivo de identificar os caminhos de menor resistência para a escalada de privilégios e o movimento lateral. Essa avaliação fornece um mapa detalhado das fraquezas em seu Active Directory e recomendações acionáveis para corrigi-las antes que um ataque real ocorra. Como uma parceira Sophos Gold Partner, a SN Informática possui a expertise e as ferramentas de nível mundial para executar essas avaliações críticas, fornecendo uma visão clara e objetiva do seu verdadeiro nível de risco interno.
Conclusão e Próximos Passos
A segurança do Active Directory não é apenas mais um item em uma checklist de TI; é a fundação sobre a qual toda a sua resiliência interna é construída. Uma única conta de serviço com senha fraca, como a svc-sqlservice que identificamos, não é um risco técnico; é a porta de entrada para a exfiltração de dados, a paralisação de operações e o acionamento de um ataque de ransomware em toda a empresa. Ignorar suas vulnerabilidades é deixar a porta aberta para um comprometimento total. Apenas uma estratégia proativa, que busca e corrige as fraquezas antes que sejam exploradas, pode garantir a integridade da sua infraestrutura.
Sua infraestrutura interna está preparada para resistir a um ataque? Descubra as vulnerabilidades ocultas em seu Active Directory. Entre em contato com os especialistas da SN Informática e agende uma avaliação de segurança.
Sobre a SN Informática e Sophos
A SN Informática é uma empresa especialista em Cibersegurança como Serviço (CSaaS), oferecendo soluções de Firewall as a Service (FWaaS) e Managed Security Service Provider (MSSP). Como Partner Gold Sophos, temos profunda especialização em todo o portfólio de soluções Sophos, incluindo Firewall, MDR, XDR, NDR e EDR, garantindo a proteção completa e gerenciada para sua organização.
Instagram | LinkedIn | WhatsApp
