Active Directory (AD) sigue siendo el pilar de autenticación y autorización en entornos Windows. Actores maliciosos pueden obtener credenciales completas del dominio mediante la exfiltración de la base de datos NTDS.dit, facilitando movimientos laterales y comprometiendo completamente el dominio. Esta intrusión se realizó aprovechando utilidades nativas de Windows y escalamiento de privilegios tras una campaña de phishing, logrando evadir alarmas tradicionales mediante técnicas de copia en sombra (Volume Shadow Copy) y desencriptación offline.
Productos afectados
| Fabricante | Producto | Componente | Plataformas/SO |
|---|---|---|---|
| Microsoft | Windows Server | Active Directory y NTDS.dit | Windows Server (versiones con Active Directory) |
Solución
Aplicar las mejores prácticas de seguridad en Active Directory, incluyendo monitoreo avanzado, segmentación adecuada y revisión de privilegios; además, reforzar políticas de detección para actividades sospechosas relacionadas con Volume Shadow Copy y accesos SMB.
Recomendaciones
Priorizar la implementación de detecciones basadas en comportamientos atípicos, restringir accesos administrativos y vigilar el uso de utilidades nativas fuera de horarios normales. Windows: fortalecer monitoreos en eventos VSS y accesos a archivos NTDS.dit; adoptar alertas automatizadas para prevenir exfiltraciones silenciosas.