Active Directory

Os resets de senha são uma resposta comum a suspeitas de comprometimento de contas, mas não resolvem completamente o problema em ambientes de Active Directory (AD) e Entra ID. Após um reset, as credenciais antigas podem permanecer válidas por um curto período, permitindo que atacantes mantenham acesso. Isso ocorre devido ao cache local de hashes de senha nos sistemas Windows e a possíveis atrasos na sincronização de senhas em ambientes híbridos. Existem três estados possíveis após um reset: o usuário logou com a nova senha, não logou em um dispositivo específico ou a nova senha ainda não foi sincronizada. Os atacantes podem explorar essas lacunas utilizando técnicas como pass-the-hash e mantendo sessões ativas com tickets Kerberos válidos. Para mitigar esses riscos, é crucial invalidar sessões ativas, revisar permissões e rotacionar senhas de contas de serviço. A implementação de soluções como o Specops uReset pode ajudar a garantir que os resets de senha sejam mais seguros e eficazes, reduzindo a exposição a ataques. A segurança das senhas no AD é vital, considerando que 44,7% das violações de dados envolvem credenciais roubadas, segundo o relatório da Verizon.

Em fevereiro de 2026, pesquisadores identificaram uma mudança significativa nas táticas de ciberataques, com criminosos cibernéticos utilizando configurações personalizadas de inteligência artificial (IA) para automatizar ataques diretamente na cadeia de destruição. Essa nova abordagem vai além de e-mails de phishing mais sofisticados; agora, agentes autônomos conseguem mapear o Active Directory e obter credenciais de Administrador de Domínio em questão de minutos. O desafio para as equipes de defesa é evidente: enquanto os atacantes operam em velocidade de máquina, as defesas ainda seguem um fluxo de trabalho tradicional e lento, que envolve múltiplas equipes (CTI, Red Team e Blue Team) e gera atrasos. Para enfrentar essa nova realidade, a Picus Security está promovendo um webinar sobre Validação de Exposição Autônoma, que promete apresentar um novo paradigma defensivo. Os participantes aprenderão sobre a mecânica dos ataques autônomos, como automatizar a ingestão de inteligência de ameaças e simular ataques sem comprometer a rede, além de estratégias para eliminar a fragmentação entre as equipes de segurança. Com a evolução das ferramentas dos atacantes, é crucial que as defesas também se atualizem para garantir a proteção eficaz das organizações.

Um estudo da Forrester estima que cada redefinição de senha custa cerca de $70, o que torna esse processo um dos pedidos mais comuns ao suporte técnico. Muitas organizações implementaram ferramentas de redefinição de senha autônoma (SSPR) para aliviar essa carga, mas ainda assim, as equipes de suporte lidam com um número significativo de solicitações. Os ataques de engenharia social, como o ocorrido com a Marks & Spencer em abril de 2025, demonstram como a redefinição de senha pode ser um alvo fácil para atacantes. Neste caso, os invasores se passaram por um funcionário da empresa e conseguiram redefinir uma senha, obtendo credenciais legítimas e acessando o Active Directory. A partir daí, eles extraíram dados sensíveis e implantaram ransomware, resultando em perdas significativas. Para mitigar esses riscos, recomenda-se a adoção de práticas como a verificação rigorosa da identidade do usuário, o uso de credenciais temporárias seguras e o monitoramento das atividades de redefinição de senha. Ferramentas como o Specops Secure Service Desk podem ajudar a fortalecer esse processo, garantindo que a verificação de identidade não dependa apenas de informações que podem ser facilmente obtidas ou adivinhadas.

O artigo destaca que, apesar da implementação de autenticação multifator (MFA) em ambientes Windows, muitas organizações ainda enfrentam riscos significativos devido a caminhos de autenticação que não acionam MFA. Os atacantes continuam a comprometer redes usando credenciais válidas, especialmente em logons interativos e acessos diretos via RDP, que não são protegidos por controles de MFA. O uso de protocolos legados como NTLM e Kerberos também é explorado, permitindo ataques como ‘pass-the-hash’ e ‘pass-the-ticket’. Para mitigar esses riscos, o artigo sugere a adoção de políticas de senhas mais rigorosas, bloqueio de senhas comprometidas e auditoria de contas de serviço. Ferramentas como Specops Secure Access são mencionadas como soluções para reforçar a segurança em logons do Windows, VPN e RDP, dificultando o acesso não autorizado. A análise enfatiza a necessidade de uma abordagem proativa para proteger a autenticação no Windows, considerando a crescente sofisticação dos ataques cibernéticos.

O TaskHound é uma ferramenta inovadora que visa detectar tarefas agendadas no Windows que operam com privilégios elevados e credenciais armazenadas, um alvo atrativo para atacantes que buscam movimentação lateral e escalonamento de privilégios. Muitas organizações configuram essas tarefas de forma inadequada, permitindo que credenciais sejam armazenadas em disco, o que as torna vulneráveis a ataques. O TaskHound automatiza a identificação dessas tarefas em ambientes Active Directory, economizando tempo e reduzindo erros em avaliações de segurança. Ele destaca tarefas críticas que rodam como administradores de domínio e integra-se ao BloodHound, permitindo uma análise contextualizada das rotas de ataque. Além disso, a ferramenta analisa datas de alteração de senhas em relação às datas de criação das tarefas, identificando credenciais obsoletas que podem ser exploradas. O TaskHound opera em modos online e offline, facilitando a análise em diferentes cenários. Para as operações defensivas, ele ajuda a identificar tarefas que merecem investigação imediata, reforçando a importância da gestão adequada de acessos privilegiados e da auditoria regular do Active Directory.

O Active Directory (AD) é fundamental para a autenticação em mais de 90% das empresas da Fortune 1000, especialmente em ambientes híbridos e na nuvem. Sua complexidade crescente torna-o um alvo atrativo para atacantes, que podem comprometer o AD para obter acesso privilegiado a toda a rede. O ataque à Change Healthcare em 2024 exemplifica os riscos: hackers exploraram a falta de autenticação multifatorial, comprometeram o AD e causaram interrupções significativas nos cuidados com os pacientes, resultando em milhões em resgates. Técnicas comuns de ataque incluem Golden Ticket, DCSync e Kerberoasting, que aproveitam vulnerabilidades como senhas fracas e contas de serviço mal gerenciadas. A fragmentação da segurança entre equipes de nuvem e locais agrava a situação, criando lacunas de visibilidade. Para mitigar esses riscos, é essencial implementar políticas de senhas robustas, gerenciamento de acesso privilegiado e monitoramento contínuo. A segurança do AD deve ser um processo contínuo, com atenção constante às novas vulnerabilidades e técnicas de ataque.

Em setembro de 2025, a unidade de resposta a ameaças da eSentire, conhecida como TRU, identificou um sofisticado backdoor em Rust, chamado ‘ChaosBot’, que visa ambientes de serviços financeiros. Este malware inova ao utilizar credenciais comprometidas do CiscoVPN e uma conta de Active Directory com privilégios excessivos para implantar e controlar sistemas infectados. O ataque se inicia com a obtenção de credenciais válidas ou por meio de arquivos de atalho maliciosos que executam comandos PowerShell para baixar o payload principal. O ChaosBot se esconde utilizando componentes legítimos do Microsoft Edge para evitar detecções iniciais e se comunica com os atacantes via Discord, demonstrando técnicas avançadas de evasão e persistência. As recomendações incluem a implementação de autenticação multifatorial e a limitação de privilégios de contas de serviço, além de manter patches atualizados e soluções de EDR/NGAV para detectar atividades suspeitas. A análise da TRU isolou a máquina infectada para conter a violação e orientar os esforços de remediação.

Pesquisadores de cibersegurança da Resecurity revelaram uma técnica de ataque sofisticada que explora configurações padrão de redes Windows, permitindo a compromissão total de domínios. O ataque MITM6 + NTLM Relay combina a auto-configuração IPv6 maliciosa com técnicas de retransmissão de credenciais, escalando privilégios e comprometendo ambientes do Active Directory. O método não depende de vulnerabilidades zero-day ou malware, mas sim de configurações frequentemente negligenciadas pelos administradores. Ao se conectar a redes, máquinas Windows enviam automaticamente solicitações DHCPv6, que podem ser respondidas por atacantes usando a ferramenta mitm6, redirecionando as máquinas vítimas para servidores DNS maliciosos. Uma vez que o tráfego DNS é comprometido, os atacantes podem interceptar solicitações WPAD e capturar credenciais de autenticação. A gravidade do ataque aumenta com a configuração padrão do Active Directory, que permite que qualquer usuário autenticado adicione até 10 contas de máquina ao domínio. Medidas de mitigação recomendadas incluem desativar o IPv6 quando não utilizado, implementar DHCPv6 Guard e reforçar a assinatura SMB e LDAP. A pesquisa destaca a importância de endurecer configurações padrão e minimizar suposições de confiança em ambientes de rede.

A Microsoft lançou uma nova funcionalidade de segurança baseada em inteligência artificial no Defender for Identity, que visa mitigar uma vulnerabilidade crítica relacionada ao armazenamento de credenciais em texto simples no Active Directory. A pesquisa da empresa revelou que mais de 40.000 credenciais estavam expostas em 2.500 locatários, evidenciando a gravidade do problema. Essa vulnerabilidade surge do uso inadequado de campos de texto livre, onde administradores frequentemente armazenam senhas e tokens de autenticação para facilitar a resolução de problemas e a integração de sistemas. Isso cria alvos valiosos para cibercriminosos, especialmente em contas de identidade não humanas, que não podem utilizar métodos tradicionais de autenticação multifatorial. A nova arquitetura de detecção da Microsoft combina varredura abrangente do diretório com uma análise contextual, reduzindo falsos positivos e garantindo alertas acionáveis para as equipes de segurança. A funcionalidade já está disponível em versão pública para todos os clientes do Defender for Identity, permitindo que as organizações identifiquem e corrijam configurações inadequadas antes que possam ser exploradas.