Por que o Active Directory ainda é o alvo número 1 de ataques?
95 milhões de contas do Active Directory são atacadas todos os dias. Pode parecer exagero, mas este é o dado mais recente levantado pela Microsoft sobre o sistema de identidade mais utilizado no mundo corporativo.
Mesmo com a evolução do cenário de TI, com forte presença de ambientes híbridos, cloud e Zero Trust, o Active Directory ainda é o carro-chefe de quase toda infraestrutura de identidade e, consequentemente, o principal alvo de invasores.
Neste artigo, vamos entender por que o Active Directory é tão importante, quais são suas principais vulnerabilidades, como os ataques acontecem na prática e como monitorar esse ambiente antes que algo saia do controle.
O que é o Active Directory e por que ele é tão importante?
O Active Directory (AD) é o serviço de diretório da Microsoft responsável por gerenciar identidades e acessos dentro de uma organização. Na prática, é ele quem controla quais contas podem fazer login e quais são as permissões de cada usuário.
Lançado com o Windows 2000, em 2000, ele foi projetado para suprir necessidades de um cenário em que infraestruturas eram centralizadas, on-premises e com perímetros bem definidos. Mesmo assim, décadas depois, ele ainda é o escolhido pelas equipes de TI. 95% das corporações globais utilizam o Active Directory para controlar identidade e acesso e 93% das empresas da Fortune 1000 dependem dele.
Ele é robusto, amplamente documentado, integrado ao ecossistema Microsoft e o centralizador do gerenciamento de identidades. O problema é que essa mesma centralidade o torna o principal alvo dos invasores: ter acesso ilimitado ao Active Directory dá o poder para comprometer não apenas uma conta ou um servidor, mas a organização inteira.
Por que o Active Directory é o principal alvo de ataques?
Pense em tudo que um invasor pode adquirir ao comprometer o AD de uma instituição. É por isso que ele ainda é o principal alvo: arquivos, sistemas, e-mails, bancos de dados, permissões de acesso — tudo passa pelo AD. Quem controla o Active Directory, controla as identidades e quem as controla, tem poder sobre toda a organização.
É por isso que 95% dos ataques de ransomware (sequestro e criptografia de dados, cujo resgate é exigido mediante pagamento) envolvem o Windows Active Directory, segundo o relatório State of Ransomware da CyberRisk Alliance. Essa é a estratégia dos invasores, já que o AD é o caminho mais rápido para escalar privilégios e fazer movimentos laterais pela rede.
A tendência é que o AD continue na mira dos invasores: ataques ao Active Directory cresceram 42% em 2025. Toda organização que usa o serviço da Microsoft está sujeita aos ataques, principalmente aquelas que não possuem uma ferramenta robusta de segurança, já que 89% das empresas detectaram atividades suspeitas em seu AD nos últimos 12 meses.
Quais são as principais vulnerabilidades do Active Directory?
O AD não é inseguro por conta de um design mal projetado, mas pelo contexto atual do mundo corporativo. Ele foi criado para um cenário que não existe mais, e as organizações raramente adaptaram suas configurações para acompanhar a evolução das ameaças.
Falta de arquitetura Zero Trust
Em um ambiente Zero Trust, nenhuma identidade é confiável por padrão. E é justamente isso que falta no AD: ele opera com um modelo de confiança implícita, ou seja, qualquer usuário autenticado dentro da rede tem acesso a uma quantidade relevante de informações do diretório.
Isso já é suficiente para começar a mapear o ambiente, já que é possível visualizar grupos, contas e até estrutura de permissões.
Logo, o invasor pode começar comprometendo uma conta de nível baixo, com nenhum privilégio, e mesmo assim terá um mapa detalhado da organização dentro do AD: quem são os administradores, quais grupos têm acesso a quais recursos, quais contas de serviço existem.
Com essas informações de reconhecimento do ambiente, ele consegue decidir qual o próximo passo para garantir mais privilégios.
Complexidade de configuração
Um dos principais pontos positivos do AD é ser altamente configurável, mas essa flexibilidade tem um custo escondido.
Permissões excessivas, delegações mal atribuídas, grupos privilegiados com membros antigos: esses são alguns dos exemplos de como as coisas podem sair do controle, e rápido, em um ambiente de AD que existe há anos e é pouco revisado.
O AD cresce com a organização, e apenas uma configuração bem feita inicialmente não é suficiente para mantê-lo seguro ao longo dos anos. Revisões periódicas e monitoramento contínuo das estruturas já estabelecidas são essenciais para fazer ajustes que mantenham o diretório protegido.
Contas privilegiadas sem controle
O AD de qualquer organização com anos de operação começa a acumular contas de administrador ou contas de serviço com privilégios elevados — elas nunca foram desativadas e não são mais monitoradas. Isso faz com que cada uma delas seja uma porta de entrada em potencial.
Mais de mil profissionais de TI participaram de uma pesquisa e revelou-se que 48% das organizações não têm processos adequados para gerenciar contas privilegiadas. Não é que as equipes de TI propositalmente deixam os privilégios se acumularem, mas sim a complexidade de gerenciamento. Manter um inventário limpo de permissões em um AD grande, em constante mudança, é um grande desafio sem as ferramentas adequadas.
Ambientes híbridos sem visibilidade centralizada
78% dos ataques ao Active Directory focam em ambientes híbridos. O motivo do alvo está no fato de eles possuírem dois diretórios, duas superfícies de ataque e, na maioria das organizações, uma visibilidade fragmentada entre os dois.
Algumas inconsistências comuns, como uma mudança de permissão feita no AD on-premises não se refletir imediatamente no Entra ID, ou uma conta desativada localmente continuando ativa na nuvem, são exatamente o tipo de brecha que os invasores exploram.
Escalonamento de privilégios
Imagine que um invasor consiga comprometer uma conta comum no AD de uma organização. Com o escalonamento de privilégios, ele consegue elevar suas próprias permissões para um nível maior do que o originalmente concedido ao usuário.
Isso pode acontecer explorando configurações incorretas de delegação, vulnerabilidades em GPOs ou relações de confiança mal configuradas entre domínios. Com essa prática, o invasor consegue acessar dados sensíveis, navegar por grupos privilegiados e conceder mais privilégios à outras contas que deseja acessar.
Escalonamento vertical de privilégios
Quando a movimentação parte de dentro da organização, o escalonamento é vertical, uma variante especialmente perigosa. O ataque é interno, silencioso e, sem monitoramento de mudanças, praticamente invisível.
Acontece quando um colaborador com acesso legítimo ao AD identifica uma configuração que permite elevar suas próprias permissões sem explorar nenhuma vulnerabilidade técnica sofisticada, apenas aproveitando uma delegação excessiva de privilégios que ninguém revisou.
As intenções são diversas, mas uma das principais é a obtenção de dados críticos que antes ele não conseguia visualizar, seja para conseguir ainda mais acessos ou vender as informações confidenciais.
Como os ataques ao Active Directory acontecem na prática?
Conhecer as técnicas de ataque mais comuns ao AD é o primeiro passo para identificar sinais de comportamento anormais antes que ele esteja completamente comprometido.
O protocolo de autenticação do AD, o Kerberos, permite que usuários façam login uma única vez e acessem diversos serviços, um conceito conhecido como Single Sign-on (SSO). Todas as técnicas de ataque descritas abaixo têm algo em comum: exploram o Kerberos contra si mesmo.
Para entender os ataques, imagine que o Kerberos funciona como a segurança de um prédio corporativo. Quando você chega, apresenta seus documentos (como fazer um login) e recebe um crachá principal — o TGT (Ticket Granting Ticket). Esse crachá não abre nenhuma sala, mas prova que você foi autenticado. Cada vez que você precisa acessar um recurso específico — uma sala, um servidor, um banco de dados — você apresenta o crachá principal e recebe uma chave para aquela sala específica, o ST (Service Ticket). Os ataques abaixo exploram justamente esses crachás e chaves.
Roubo de credenciais — Pass-the-Hash e Pass-the-Ticket
No Pass-the-Hash, o invasor não precisa saber nem a sua senha: ele rouba o hash, a versão criptografada dela armazenada na memória do sistema, e o utiliza para autenticação. É como roubar sua impressão digital em vez de descobrir sua senha, já que o sistema aceita a impressão como prova de identidade sem questionar.
O Pass-the-Ticket vai um passo além. Em vez de roubar o hash, o invasor rouba o próprio crachá da analogia que fizemos acima — o TGT já emitido — e o utiliza na sua própria sessão. Com ele, pode solicitar acesso a qualquer recurso do AD como se fosse o usuário legítimo. A implementação de MFA é uma das principais barreiras contra esse tipo de ataque, já que dificulta a obtenção inicial do ticket.
Golden Ticket e Silver Ticket
O Golden Ticket é considerado o ataque mais grave ao Active Directory. Para criá-lo, o invasor precisa obter o hash da conta KRBTGT — a conta especial responsável por todos os tickets do domínio. Com esse hash, ele pode fabricar tickets TGT falsos, mas completamente válidos para o sistema, que concedem acesso irrestrito a todos os recursos. O pior é que um Golden Ticket pode permanecer funcional por anos, mesmo após troca de senhas, se especificamente a conta comprometida, a KRBTGT, não for resetada.
O Silver Ticket é uma versão do ataque que busca acessos a serviços específicos. Em vez de comprometer o domínio inteiro, o invasor rouba o hash de uma conta de serviço específica e fabrica um ticket para aquele serviço apenas, seja um servidor de arquivos, um banco de dados ou uma aplicação. Menos poder, mas também passa mais despercebido por não precisar se comunicar com o controlador de domínio durante o ataque, o que o torna mais difícil de detectar.
Kerberoasting
O Kerberoastingnão exige privilégios de administrador e qualquer conta de usuário comum pode executá-lo. O ataque funciona assim: o invasor solicita tickets de serviço para contas que têm um SPN (Service Principal Name) registrado no AD. Esses tickets são criptografados com a senha da conta de serviço. O invasor baixa os tickets e tenta quebrá-los offline, por força bruta, até descobrir a senha.
Essa técnica de ataque é particularmente perigosa se levarmos em consideração que as contas de serviço frequentemente têm senhas fracas, raramente são monitoradas e não expiram a menos que um técnico escolha explicitamente excluí-las. O tráfego gerado pelo ataque parece completamente normal para o AD, afinal, é uma solicitação legítima de ticket de serviço.
DCSync e DCShadow
O DCSync vai simular um controlador de domínio legítimo para extrair hashes de senha de todas as contas do AD, incluindo de administradores e da conta KRBTGT. O invasor usa, então, permissões de replicação para "pedir" ao controlador de domínio que envie cópias dos hashes, como se estivesse sincronizando outro domain controller. Com esses hashes em mãos, pode executar praticamente qualquer outro ataque da nossa lista.
No DCShadow, em vez de extrair dados, o invasor vai injetá-los. Ele registra um controlador de domínio falso no ambiente e o usa para modificar objetos do AD, desde criar contas, alterar permissões, até mudar senhas.
As alterações são replicadas pelo próprio mecanismo do AD, como se fossem mudanças legítimas, sem dar sinais de anomalia nos logs convencionais, não contextualizados.
Por que a detecção de ataques ao AD é tão difícil?
O tempo de descoberta é uma das principais razões pelas quais os ataques ao Active Directory são tão eficazes e populares. Sem ferramentas especializadas, empresas levam em média 146 dias para detectar um ataque ao AD: são quase cinco meses de acesso não autorizado, movimentação lateral e extração de dados. Com sistemas de detecção dedicados, esse tempo cai para 1 a 2 dias.
O problema é como a maioria das empresas enxerga o AD: um ambiente que "simplesmente funciona". Justamente por acreditarem que tudo está sob controle, não percebem quando mudanças acontecem silenciosamente. São apenas 17% das organizações que monitoram efetivamente mudanças em objetos e configurações sensíveis do Active Directory.
Sem registro e monitoramento ativo, movimentos como uma conta criada fora do horário comercial, uma permissão alterada num grupo privilegiado ou um novo membro adicionado ao grupo de administradores não são alertados e passam despercebidos.
Quando o ataque finalmente é detectado, talvez já seja tarde demais para remediá-lo. Um ataque bem-sucedido ao AD paralisa, em média, 3 a 5 dias úteis de operação somente para investigação das equipes de TI.
Como proteger o Active Directory com o ADAudit Plus
Diferente do outras plataformas de serviço, a proteção do Active Directory não é uma tarefa que se resolve com uma única configuração bem feita, criada para durar para sempre. É um processo contínuo de monitoramento, auditoria e resposta — e é exatamente para isso que oADAudit Plus da ManageEngine foi desenvolvido.
O ADAudit Plus consegue monitorar em tempo real todas as mudanças que acontecem no Active Directory: desde criação e modificação de contas, alterações em grupos privilegiados, tentativas de login com falha, até acessos fora do horário padronizado.
Tudo é registrado, já que cada evento gera um log contextualizado — quem fez, o quê, quando e de onde — que pode ser consultado a qualquer momento para investigação ou auditoria de conformidade.
Para os ataques descritos neste artigo, o ADAudit Plus oferece um processo de detecção mais específico para ameaças que levantem sinais, como padrões de solicitação de tickets compatíveis com Kerberoasting, tentativas de replicação suspeitas que indicam DCSync e modificações atípicas em objetos do AD que podem sinalizar DCShadow. Os alertas são configuráveis, com a equipe de TI podendo definir quais eventos são críticos, como quer ser notificada e a postura de ação a incidentes.
As auditorias são facilitadas, já que as evidências de incidentes são organizadas e rastreadas, sem precisar buscar manualmente em logs. Gerados sob demanda ou programados para entregas periódicas automáticas, os relatórios prontos cobrem requisitos de conformidade com normas como SOX, HIPAA, LGPD e ISO 27001.
Enquanto o ADAudit Plus detecta e registra incidentes, conte com a solução ADManager Plus da ManageEngine para complementar sua resposta: ele permite ação direta no AD, como a revogação de permissões, desativação de contas comprometidas e contenção de mudanças maliciosas. Além disso, as duas ferramentas operam em um console centralizado e integrado, facilitando a ação da equipe de TI. A capacidade de resposta rápida e automática pode ser a diferença entre conter o incidente e lidar com um comprometimento total do domínio.
O Active Directory continuará sendo o alvo número 1 enquanto for o sistema de identidade mais utilizado no ambiente corporativo. A pergunta não é se ele será atacado, é se sua organização está pronta para lidar com este ataque. Clique e teste grátis oADAudit Plus e oADManager Plus.
Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.
Importante: a ManageEngine não trabalha com distribuidores no Brasil.