CREDENTIAL GUARD

INSTITUTO TECNOLÓGICO DE LAS AMÉRICAS (ITLA)

Sahira J. Castillo Mejía

2018-6520

Docente: Gean Carlos Sosa

Seguridad de Sistemas Operativos

Grupo 2
 Introducción

Credential Guard es una característica introducida en Windows 10 Enterprise y Windows

Server 2016 que esencialmente protege su máquina de ataques como pasar el hash y otras

posibles amenazas de robo de credenciales. Utiliza lo que se llama seguridad basada en

virtualización para aislar secretos para que solo el software del sistema privilegiado pueda

acceder a ellos.

La protección de credenciales de Windows Defender usa la seguridad basada en la

virtualización para aislar secretos, de modo que solo el software de sistema privilegiado pueda

acceder a ellos. El acceso no autorizado a estos secretos puede derivar en ataques de robo de

credenciales, como ataques pass-the-hash o pass-the-ticket. Credential Guard de Windows

Defender impide estos ataques mediante la protección de los hash de contraseña NTLM, los

vales de concesión de vales de Kerberos y las credenciales que almacenan las aplicaciones como

credenciales de dominio.

Al habilitar Credential Guard de Windows Defender, se proporcionan las siguientes

características:

 Seguridad de hardware NTLM, Kerberos y el Administrador de credenciales

usan las características de seguridad de plataforma, como el arranque seguro y la

virtualización, para proteger las credenciales.

derivadas de Kerberos y otros secretos se ejecutan en un entorno protegido que

está aislado del sistema operativo en ejecución.

 Mejor protección contra las amenazas persistentes avanzadas Cuando se

protegen las credenciales de dominio del Administrador de credenciales, NTLM y

las credenciales derivadas de Kerberos mediante seguridad basada en

virtualización, las herramientas y técnicas de ataque de robo de credenciales que

se usan en muchos ataques dirigidos se bloquean.

Cómo funciona Credential Guard de Windows Defender

Con Credential Guard de Windows Defender habilitado, el proceso de LSA en el sistema

operativo se comunica con un nuevo componente denominado proceso LSA aislado que

almacena y protege estos secretos. Los datos almacenados mediante el proceso LSA aislado se

protegen con la seguridad basada en la virtualización y no son accesibles para el resto del sistema

operativo. LSA usa llamadas a procedimiento remoto para comunicarse con el proceso LSA

aislado.

Por motivos de seguridad, el proceso LSA aislado no hospeda ningún controlador de

dispositivo. En su lugar, solo hospeda un pequeño subconjunto de binarios del sistema operativo

que solo son necesarios para la seguridad. Todos estos binarios se firman con un certificado de

confianza de la seguridad basada en la virtualización y estas firmas se validan antes de iniciar el

archivo en el entorno protegido.

Algunas maneras de almacenar las credenciales no están protegidas por Credential Guard

de Windows Defender, como:

 Software que administra credenciales fuera de la protección de la característica de

Windows

 Cuentas locales y cuentas de Microsoft

 Credential Guard de Windows Defender no protege la base de datos de Active

Directory que se ejecuta en los controladores de dominio de Windows Server

2016.

 Registradores de pulsaciones de teclas

 Ataques físicos

 No impide que un atacante con malware en el equipo use los privilegios asociados

con cualquier credencial. Se recomienda usar equipos dedicados para las cuentas

de gran valor, como los profesionales de TI y los usuarios con acceso a activos de

gran valor de la organización.

EQUIPOS DEL DOMINIO

Paso 1: Abrimos la consola de Administración de Directivas de Grupo, en nuestro

dominio, damos clic derecho, seleccionamos Crear Nueva GPO, y escribimos un nombre para

la misma y aceptamos.
 Paso 2: Una vez creada, damos clic derecho sobre la misma, seleccionamos la opción

Editar.
 Paso 3: Nos dirigimos a Computer Configuration -> Policies -> Administrative

Templates -> System -> Device Guard -> Turn On Virtualization Based Security.
 Paso 4: Habilitamos la Seguridad Basada en Virtualización, seleccionamos el nivel de

seguridad, la integridad del código, y la configuración de protección de credenciales.

Paso 6: Hacemos uso de las teclas Inicio + R, escribimos msinfo32.exe, para abrir

Información del sistema, y en la parte Servicios configurados para la virtualización vemos el

credential guard activo.

 Es usado para evitar ataques como Pass-the-hash y Pass-the-tickets, ya que este

protege los hash de las contraseñas NTLM, los tickets de concesión de Kerberos y

las credenciales almacenadas por las aplicaciones.

 Protege la red contra amenazas de ciberseguridad.

 Evitar la manipulación de los sistemas básicos del Sistema Operativo.

ATAQUES PASS-THE-HASH

Los ataques PtH o Pass The Hash permiten utilizar el robo de credenciales, ya sea

mediante el uso de la contraseña obtenida o el hash robado. El proceso que es llevado a cabo se

realiza en dos etapas, la primera el atacante debe obtener un acceso administrativo local en al

menos un ordenador del ámbito empresarial, y en segundo lugar el atacante tratará de aumentar

el acceso a otros equipos de la red, pero ¿Cómo? Fácil, los pasos son:

 El robo de una credencial o más del equipo comprometido. Es decir, una vez el

atacante tiene privilegios administrativos sobre el equipo en local, puede obtener

otras credenciales que se encuentren logueadas, cacheadas o en la SAM del

equipo comprometido.

 Reutilizar las credenciales robadas para acceder a otros sistemas y/o servicios

informáticos. En otras palabras, cuando disponemos de una credencial, podremos

usarla para entrar otra máquina que también tenga ese usuario con el mismo hash.
 Este hecho es utilizado en una auditoría real de índole interno con el fin de aumentar

progresivamente el nivel de acceso que un atacante, que simule un rol de empleado sin

privilegios, dispone en la red. Un hash es la contraseña en formato "protegido" y es una

derivación matemática directa de la propia contraseña. Este hash proporciona al sistema una

prueba de que el usuario conoce la contraseña, ya que lo ideal es que una contraseña disponga de

una única representación en formato hash, cosa que no es real. Después de que el atacante haya

robado el usuario y el autenticador o hash, el atacante podría hacer efectivo el acceso a los

recursos locales o remotos de dicha cuenta, privilegios de ésta, etc. Si la cuenta comprometida es

una cuenta con privilegios, como un administrador de dominio, las ganancias por parte del

atacante son infinitas, ya que tendría acceso a todo el dominio y ser cualquier usuario del

dominio. Hay que tener muy en cuenta que cualquier credencial almacenadas en un equipo

pueden ser robadas con este tipo de ataques, incluyendo las cuentas locales de los usuarios

(SAM), cuentas de usuario de dominio, de servicio y de equipo. Las cuentas de dominio que no

se hayan utilizado para iniciar sesión en el equipo comprometido no podrán ser robadas, a no ser

que nos encontremos en el Domain Controller.

Para que un atacante pueda utilizar un hash robada en otro equipo, éste debe cumplir unos

requisitos:

 El atacante debe tener conectividad con el equipo remoto a través de la red, y el

equipo remoto debe tener servicios que acepten conexiones de red.

 La cuenta del usuario debe tener un hash idéntico al que se robó en la máquina

comprometida, es decir, la contraseña debe ser la misma. Por ejemplo, si ambos

usuario y contraseña.

 La cuenta comprometida debe tener derecho de inicio de sesión en red en el

equipo remoto.

Ataque: Descripción

El atacante utilizará las credenciales obtenidas de un equipo comprometido para acceder

a otro equipo del mismo valor para la organización. Por ejemplo, el atacante puede utilizar

dichas credenciales robadas de la cuenta de administrador local desde el equipo comprometido

para obtener acceso a otro equipo que disponga de la misma cuenta (mismo usuario, mismo

pass). ¿Se quedará ahí el atacante? Es obvio que no, el siguiente paso será la elevación de

privilegios, para lo cual el atacante utilizará las credenciales obtenidas de un equipo

comprometido para acceder a otro equipo de un mayor valor para la organización. El ejemplo

sería obtener acceso a un servidor gracias al robo de credenciales.

Es importante tener en cuenta que el atacante debe tener acceso de administrador en el

equipo comprometido inicialmente, con el fin de comenzar el robo de credenciales. El acceso

administrativo en un equipo puede incluir la posibilidad de ejecutar una aplicación o script con

una cuenta en el grupo de administradores locales, aunque este tipo de acceso también se puede

lograr mediante el uso de privilegios, tales como "la toma de posesión". Con acceso

administrativo un atacante puede robar credenciales de varios lugares en el equipo, como, por

ejemplo:
 SAM, Security Account Manager. Fichero que se encuentra en %windir

%\system32\config.

 Subsistema de autoridad (lsass.exe). De este proceso se puede recuperar las

contraseñas en plano de las cuentas logueadas en el sistema, ya sea de manera

local o remota (smb, escritorio remoto...).

 En los controladores de dominio se puede obtener la base de datos de Active

Directory.

 CredMan, Credential Manager.

 LSA (Local Security Authority).