Tecnologia & Informação

 Exfiltração do arquivo ntds.dit  A exfiltração do arquivo ntds.dit é um incidente de segurança grave em ambientes que utilizam o Active Directory (AD). Essencialmente, é o roubo ou a cópia não autorizada do banco de dados do Active Directory, o arquivo NTDS.DIT . O que é o arquivo ntds.dit? O ntds.dit é o banco de dados principal de um controlador de domínio do Windows. Ele armazena uma vasta gama de informações críticas para a operação da rede, incluindo: Contas de usuário e senhas: Embora as senhas sejam armazenadas como hashes (valores criptografados), um atacante com o arquivo ntds.dit pode usar técnicas como "pass the hash" ou "força bruta" para decifrá-las. Contas de serviço: Informações sobre contas usadas por serviços e aplicações. Informações de grupos e usuários: Detalhes de todos os grupos e usuários da rede. Relações de confiança: Relações entre diferentes domínios. Como a exfiltração ocorre? A exfiltração do ntds.dit exige que um atacante tenha...

Redefina a Senha KRBTGT para Evitar Ataques de Golden Ticket Prática de segurança essencial que pode ajudar a proteger o Active  Directory contra ameaças sofisticadas: a redefinição regular da senha da conta KRBTGT . O que é a conta KRBTGT e por que ela é tão importante? A conta KRBTGT é um componente crítico do Active Directory (AD) . Ela é usada para criptografar e assinar todos os Kerberos Ticket Granting Tickets (TGTs) da nossa rede. Em termos simples, ela atua como o "cofre de senhas mestre" do Kerberos, a tecnologia que autentica nossos usuários e serviços. A Ameaça: Ataques de Golden Ticket A senha da conta KRBTGT raramente muda. Essa estabilidade, embora conveniente, a torna um alvo primário para cibercriminosos. Se um invasor conseguir essa senha (por meio de ferramentas como o Mimikatz , por exemplo), ele pode criar um " golden ticket " . Um golden ticket é um TGT forjado que concede ao invasor acesso irrestrito a qualquer serviço ou recurso na rede p...

  O Windows utiliza a entrada WPAD (Web Proxy Auto-Discovery) para configurar automaticamente as configurações de proxy para os navegadores, como o Internet Explorer e o Edge, permitindo que eles encontrem e usem um servidor proxy sem configuração manual.  O WPAD funciona através de descoberta via DHCP ou DNS para localizar um arquivo de configuração PAC (Proxy Auto-Config) que contém as instruções de proxy.   Como funciona o WPAD: 1.  Descoberta: O sistema operacional ou navegador tenta encontrar o servidor proxy usando métodos de descoberta DHCP e/ou DNS.   2.  Localização do arquivo PAC: O WPAD localiza um arquivo de configuração PAC (geralmente chamado de  wpad.dat ) que contém as regras para determinar qual proxy usar para cada tipo de tráfego.   3.  Configuração automática: O navegador utiliza as configurações definidas no arquivo PAC para redirecionar o tráfego da web através do servidor proxy.   Importância da entrada WPAD: Facil...

A Microsoft criou esse recurso no Windows Server 2008 e desde então, o padrão é estar bloqueado. As consultas DNS para fora da organização poderiam ser interceptadas num ataque do tipo “ man-in-the-middle ” e assim podendo alterar o registro do WPAD para um proxy fake.   Para habilitar a lista de bloqueio de consultas globais (Global Query Blocklist) no serviço de Servidor DNS é possível utilizar o  PowerShell ou o CMD. POWERSHELL Você pode utilizar o cmdlet  Set-DnsServerGlobalQueryBlockList  e o parâmetro  -Enable $True .  O servidor DNS já tem uma lista de bloqueio padrão, mas você pode adicionar ou remover nomes específicos.   Passos: Abra o PowerShell como administrador:   Vá no menu Iniciar, procure por "PowerShell", clique com o botão direito e selecione "Executar como administrador". Habilite a lista de bloqueio:   Utilize o seguinte comando para habilitar a lista de bloqueio global:   Código Set-DnsServerGlobalQueryBlockList ...