Active Directory

O artigo destaca que, apesar da implementação de autenticação multifator (MFA) em ambientes Windows, muitas organizações ainda enfrentam riscos significativos devido a caminhos de autenticação que não acionam MFA. Os atacantes continuam a comprometer redes usando credenciais válidas, especialmente em logons interativos e acessos diretos via RDP, que não são protegidos por controles de MFA. O uso de protocolos legados como NTLM e Kerberos também é explorado, permitindo ataques como ‘pass-the-hash’ e ‘pass-the-ticket’. Para mitigar esses riscos, o artigo sugere a adoção de políticas de senhas mais rigorosas, bloqueio de senhas comprometidas e auditoria de contas de serviço. Ferramentas como Specops Secure Access são mencionadas como soluções para reforçar a segurança em logons do Windows, VPN e RDP, dificultando o acesso não autorizado. A análise enfatiza a necessidade de uma abordagem proativa para proteger a autenticação no Windows, considerando a crescente sofisticação dos ataques cibernéticos.

O TaskHound é uma ferramenta inovadora que visa detectar tarefas agendadas no Windows que operam com privilégios elevados e credenciais armazenadas, um alvo atrativo para atacantes que buscam movimentação lateral e escalonamento de privilégios. Muitas organizações configuram essas tarefas de forma inadequada, permitindo que credenciais sejam armazenadas em disco, o que as torna vulneráveis a ataques. O TaskHound automatiza a identificação dessas tarefas em ambientes Active Directory, economizando tempo e reduzindo erros em avaliações de segurança. Ele destaca tarefas críticas que rodam como administradores de domínio e integra-se ao BloodHound, permitindo uma análise contextualizada das rotas de ataque. Além disso, a ferramenta analisa datas de alteração de senhas em relação às datas de criação das tarefas, identificando credenciais obsoletas que podem ser exploradas. O TaskHound opera em modos online e offline, facilitando a análise em diferentes cenários. Para as operações defensivas, ele ajuda a identificar tarefas que merecem investigação imediata, reforçando a importância da gestão adequada de acessos privilegiados e da auditoria regular do Active Directory.

O Active Directory (AD) é fundamental para a autenticação em mais de 90% das empresas da Fortune 1000, especialmente em ambientes híbridos e na nuvem. Sua complexidade crescente torna-o um alvo atrativo para atacantes, que podem comprometer o AD para obter acesso privilegiado a toda a rede. O ataque à Change Healthcare em 2024 exemplifica os riscos: hackers exploraram a falta de autenticação multifatorial, comprometeram o AD e causaram interrupções significativas nos cuidados com os pacientes, resultando em milhões em resgates. Técnicas comuns de ataque incluem Golden Ticket, DCSync e Kerberoasting, que aproveitam vulnerabilidades como senhas fracas e contas de serviço mal gerenciadas. A fragmentação da segurança entre equipes de nuvem e locais agrava a situação, criando lacunas de visibilidade. Para mitigar esses riscos, é essencial implementar políticas de senhas robustas, gerenciamento de acesso privilegiado e monitoramento contínuo. A segurança do AD deve ser um processo contínuo, com atenção constante às novas vulnerabilidades e técnicas de ataque.

Em setembro de 2025, a unidade de resposta a ameaças da eSentire, conhecida como TRU, identificou um sofisticado backdoor em Rust, chamado ‘ChaosBot’, que visa ambientes de serviços financeiros. Este malware inova ao utilizar credenciais comprometidas do CiscoVPN e uma conta de Active Directory com privilégios excessivos para implantar e controlar sistemas infectados. O ataque se inicia com a obtenção de credenciais válidas ou por meio de arquivos de atalho maliciosos que executam comandos PowerShell para baixar o payload principal. O ChaosBot se esconde utilizando componentes legítimos do Microsoft Edge para evitar detecções iniciais e se comunica com os atacantes via Discord, demonstrando técnicas avançadas de evasão e persistência. As recomendações incluem a implementação de autenticação multifatorial e a limitação de privilégios de contas de serviço, além de manter patches atualizados e soluções de EDR/NGAV para detectar atividades suspeitas. A análise da TRU isolou a máquina infectada para conter a violação e orientar os esforços de remediação.

Pesquisadores de cibersegurança da Resecurity revelaram uma técnica de ataque sofisticada que explora configurações padrão de redes Windows, permitindo a compromissão total de domínios. O ataque MITM6 + NTLM Relay combina a auto-configuração IPv6 maliciosa com técnicas de retransmissão de credenciais, escalando privilégios e comprometendo ambientes do Active Directory. O método não depende de vulnerabilidades zero-day ou malware, mas sim de configurações frequentemente negligenciadas pelos administradores. Ao se conectar a redes, máquinas Windows enviam automaticamente solicitações DHCPv6, que podem ser respondidas por atacantes usando a ferramenta mitm6, redirecionando as máquinas vítimas para servidores DNS maliciosos. Uma vez que o tráfego DNS é comprometido, os atacantes podem interceptar solicitações WPAD e capturar credenciais de autenticação. A gravidade do ataque aumenta com a configuração padrão do Active Directory, que permite que qualquer usuário autenticado adicione até 10 contas de máquina ao domínio. Medidas de mitigação recomendadas incluem desativar o IPv6 quando não utilizado, implementar DHCPv6 Guard e reforçar a assinatura SMB e LDAP. A pesquisa destaca a importância de endurecer configurações padrão e minimizar suposições de confiança em ambientes de rede.

A Microsoft lançou uma nova funcionalidade de segurança baseada em inteligência artificial no Defender for Identity, que visa mitigar uma vulnerabilidade crítica relacionada ao armazenamento de credenciais em texto simples no Active Directory. A pesquisa da empresa revelou que mais de 40.000 credenciais estavam expostas em 2.500 locatários, evidenciando a gravidade do problema. Essa vulnerabilidade surge do uso inadequado de campos de texto livre, onde administradores frequentemente armazenam senhas e tokens de autenticação para facilitar a resolução de problemas e a integração de sistemas. Isso cria alvos valiosos para cibercriminosos, especialmente em contas de identidade não humanas, que não podem utilizar métodos tradicionais de autenticação multifatorial. A nova arquitetura de detecção da Microsoft combina varredura abrangente do diretório com uma análise contextual, reduzindo falsos positivos e garantindo alertas acionáveis para as equipes de segurança. A funcionalidade já está disponível em versão pública para todos os clientes do Defender for Identity, permitindo que as organizações identifiquem e corrijam configurações inadequadas antes que possam ser exploradas.