Presentación de la nueva cobertura de la plataforma Vectra AI para Copilot y Microsoft Azure

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Técnica de ataque

Consulta LDAP

LDAP es un protocolo ampliamente utilizado para gestionar usuarios, dispositivos y servicios dentro de un entorno corporativo. Es una parte importante de la gestión de identidades y accesos, pero también puede ser una vía para que los atacantes lleven a cabo reconocimientos, escalen privilegios y exfiltren datos.

Definición
Cómo funciona
Por qué lo utilizan los atacantes
Detección
Preguntas frecuentes
Definición

¿Qué es una consulta LDAP?

La consulta LDAP (Lightweight Directory Access Protocol) es un comando que solicita información a un servicio de directorio. Permite a las aplicaciones acceder rápidamente a los datos de servicios como Active Directory y mantenerlos, y las organizaciones suelen utilizarlo para gestionar cuentas de usuario, dispositivos y control de acceso. También es una técnica utilizada por los atacantes para recuperar credenciales de usuario y otros datos sensibles.

Cómo funciona

Cómo funcionan los ataques de inyección LDAP

Un ataque LDAP se produce cuando un atacante inyecta código malicioso en una consulta LDAP. Al igual que las inyecciones SQL, aprovecha la ausencia de una validación de entrada adecuada y permite al atacante manipular la consulta añadiendo caracteres especiales para alterar su lógica. Como resultado, el atacante puede:

  • Eludir la autenticación: Los atacantes pueden manipular las consultas para iniciar sesión sin conocer los nombres de usuario y contraseñas reales.
  • Escalar privilegios: Los atacantes utilizan consultas LDAP para identificar cuentas de servicio y usuarios con privilegios elevados, y aprovechar vulnerabilidades o configuraciones erróneas para escalar privilegios.
  • Extraer datos: Los atacantes utilizan consultas LDAP excesivas o inusuales para extraer nombres de usuario, contraseñas y otros datos confidenciales del directorio.
  • Enumerar el directorio: Los atacantes a menudo utilizan consultas LDAP para enumerar los miembros de usuarios y grupos, y para mapear el entorno AD.
  • Recoger credenciales: Las consultas LDAP maliciosas se pueden utilizar para recopilar información sobre políticas de contraseñas, caducidad de contraseñas y políticas de bloqueo de cuentas, lo que permite a los atacantes prepararse para ataques de contraseñas.

La información recopilada durante las consultas LDAP a menudo ayuda a los atacantes a planificar y lanzar tácticas más sofisticadas. En casos extremos, un atacante pretende hacerse con el control total de los servicios de directorio, lo que se traduce en un acceso generalizado a los recursos y sistemas de la red.

Proceso de inyección de consultas LDAP
Por qué lo utilizan los atacantes

Por qué los atacantes atacan los directorios LDAP

Los atacantes atacan los directorios LDAP porque a menudo contienen información confidencial sobre cuentas de usuario y estructura de red. Las consultas LDAP se utilizan en las primeras fases de un ataque como una forma de recopilar detalles sobre usuarios, grupos, ordenadores y otros objetos dentro de un servicio de directorio.

Detección de plataformas

Cómo prevenir y detectar las amenazas de consulta LDAP

El paso más importante que pueden dar los equipos de seguridad para detener las consultas de búsqueda LDAP maliciosas es la detección y respuesta a las amenazas. Sin embargo, varias medidas de prevención pueden ayudar a mitigar la amenaza de las amenazas basadas en LDAP. Entre ellas se incluyen:

  • Controles de acceso basados en roles (RBAC): Restringe qué cuentas pueden realizar consultas LDAP y limita el acceso a atributos sensibles. Solo las cuentas con privilegios deben tener acceso a información crítica como la pertenencia a grupos y los atributos de contraseña.
  • Segmentación de la red: Separe los servicios de directorio sensibles del tráfico de red general para dificultar que los atacantes se desplacen lateralmente y consulten su servidor LDAP.
  • Cifrado: Asegúrese de que el tráfico LDAP está cifrado utilizando LDAP sobre SSL (LDAPS) para evitar la interceptación o manipulación durante la transmisión.
  • Autenticación y supervisión sólidas: Implemente la autenticación multifactor (MFA) para las cuentas privilegiadas y supervise de cerca la actividad. Esto hace más difícil que los atacantes utilicen credenciales robadas para realizar consultas LDAP.
  • Auditorías frecuentes: Audita periódicamente los permisos LDAP y los patrones de consulta para asegurarte de que no hay errores de configuración ni signos de abuso.

Una vez que un atacante obtiene acceso a la red, se dispone de minutos para detectar y responder a las amenazas antes de que den lugar a una brecha en toda regla. La clave está en analizar el tráfico LDAP en tiempo real, lo que permite a los analistas de seguridad identificar y abordar rápidamente las amenazas de Active Directory. 

Una forma de hacerlo es supervisando y registrando el tráfico LDAP. Recopile y analice regularmente los registros LDAP en busca de patrones inusuales. Algunas organizaciones confían en que los SIEM marquen las consultas sospechosas basándose en reglas predefinidas.

Sin embargo, un método más eficaz es aprovechar los análisis de comportamiento basados en IA para detectar consultas LDAP sospechosas. La plataforma Vectra AI hace esto mediante la construcción de una línea de base de la actividad LDAP normal, que luego se puede utilizar para marcar las desviaciones que indican actividad maliciosa potencial.

No se han encontrado elementos.
Explorar todas las detecciones

Proteja su red con detecciones avanzadas

La detección de consultas LDAP sospechosas es una de las docenas de detecciones avanzadas basadas en IA disponibles en la plataforma Vectra AI , que cubre el 90% de las técnicas relevantes de MITRE ATT&CK . Juntas, permiten a los equipos de seguridad prevenir ataques conocidos y desconocidos en una fase temprana de su evolución.

Explorar la plataforma
Más información

Preguntas frecuentes