# Ataques de delegación sin restricciones: definición, detección y mitigación

## ¿Qué es un ataque de delegación sin restricciones?

La delegación sin restricciones es una función de Active Directory que permite que una cuenta de servicio o equipo suplante una cuenta de usuario. Al estar habilitada, permite que el servicio o equipo conserve el ticket de concesión de tickets (TGT) del usuario y acceda sin problemas a otros servicios del dominio en su nombre, sin necesidad de volver a autenticarse. Si bien esto puede ser conveniente en algunos casos, si un atacante obtiene acceso al TGT almacenado, puede usarlo para acceder a cualquier servicio o equipo del dominio, lo que da lugar a un ataque de delegación sin restricciones.

## Ejemplo de ataque de delegación sin restricciones

Un usuario accede a una aplicación web para recuperar datos de un servidor backend independiente. Normalmente, necesitaría autenticarse dos veces: una para la aplicación web y otra para el servidor backend. Sin embargo, cuando se habilita la delegación sin restricciones en el servicio, una sola autenticación es suficiente. El servicio almacena el TGT del usuario y puede reutilizarlo para obtener datos del servidor backend, sin solicitarle que se autentique de nuevo. Ahora, un atacante puede usar diversas técnicas de ataque de credenciales para robar el TGT y acceder a cualquier servicio o equipo del dominio, o aumentar sus privilegios.

## Flujo de ataque de delegación sin restricciones

1. El atacante identifica una computadora con delegación sin restricciones mediante un cmdlet de PowerShell que busca cuentas de computadora configuradas con *TrustedForDelegation = True*.
2. Obtienen acceso de SISTEMA o de administrador local a la computadora explotando una vulnerabilidad o credenciales robadas.
3. El atacante espera a que un usuario con privilegios, como un administrador de dominio, se autentique en el sistema. Al autenticarse, su TGT se almacena en memoria.
4. El atacante utiliza herramientas como Mimikatz para extraer el TGT e inyectarlo en la propia sesión del atacante para hacerlo válido.
5. Con el TGT inyectado, el atacante solicita tickets de servicio y accede a servicios en todo el dominio, incluidos controladores de dominio, servidores de archivos, bases de datos, etc.
6. El atacante también puede aumentar los privilegios extrayendo credenciales del controlador de dominio y luego crear nuevas cuentas de administrador de dominio o tickets dorados para acceso a largo plazo.

## ¿Cómo puedo detectar un ataque de delegación sin restricciones?

Detectar un ataque de delegación sin restricciones puede ser difícil, pero hay varios indicadores y señales clave que puede buscar, como un comportamiento inusual de los tickets, patrones de acceso inesperados y abuso de cuentas con altos privilegios.

Eventos clave de Windows a monitorear:

- [ID de evento 4769: se solicitó un ticket de servicio Kerberos](https://www.manageengine.com/products/active-directory-audit/kb/windows-security-log-event-id-4769.html?source=unconstrained-delegation)  
  Una gran cantidad de tickets de servicio (TGS) solicitados desde la misma máquina.
- [ID de evento 4624: inicio de sesión exitoso](https://www.manageengine.com/products/active-directory-audit/kb/windows-security-log-event-id-4624.html?source=unconstrained-delegation)  
  Cuentas con altos privilegios que inician sesión en sistemas que tienen delegación sin restricciones.
- [ID de evento 4672: privilegios especiales asignados al nuevo inicio de sesión](https://www.manageengine.com/products/active-directory-audit/kb/logon-logoff-events/event-id-4672.html?source=unconstrained-delegation)  
  Administradores de dominio u otras cuentas privilegiadas que inician sesión en sistemas que no deberían alojarlos.

## ¿Cómo puedo protegerme contra ataques de delegación sin restricciones?

Para mitigar los riesgos asociados con la delegación sin restricciones es necesario combinar cambios de configuración, mejores prácticas y medidas de seguridad continuas:

- **Evite la delegación sin restricciones:** Idealmente, evite usarla por completo. Es una función obsoleta con importantes vulnerabilidades de seguridad.
- **Supervisar cuentas delegadas:** identificar las cuentas configuradas para la delegación y supervisar los eventos mencionados anteriormente para garantizar que no se produzca un ataque de delegación sin restricciones.
- **Cuentas confidenciales seguras:** habilite la opción "La cuenta es confidencial y no se puede delegar" para cuentas con privilegios elevados y otras cuentas confidenciales en Active Directory.
- **Utilice el grupo Usuarios protegidos:** colocar usuarios privilegiados en el grupo de seguridad Usuarios protegidos evita que se deleguen sus credenciales.
- **Rote las contraseñas periódicamente:** los TGT robados se pueden invalidar con una rotación regular de contraseñas, especialmente para cuentas de servicios críticos.
- **Creación de cuentas de máquina de control:** establecer la cuota de cuenta de máquina en cero puede evitar que usuarios no autorizados creen nuevas cuentas de computadora y las configuren para una delegación sin restricciones.

## Cómo ADAudit Plus puede ayudarle a detectar y mitigar ataques de delegación sin restricciones

El Analizador de Superficie de Ataque de ADAudit Plus le ofrece paneles de control e informes especializados que le ayudan a identificar cuentas configuradas para la delegación sin restricciones y a responder a ataques de delegación sin restricciones en tiempo real. Basado en reglas exclusivas derivadas del marco MITRE ATT&CK, el Analizador de Superficie de Ataque proporciona información valiosa sobre amenazas, lo que le permite investigar posibles ataques de delegación sin restricciones con solo unos clics.

### Obtenga una descripción general rápida de varias amenazas a su entorno de AD con el panel de control del Analizador de superficie de ataque

![Get a quick overview of various threats to your AD environment with the Attack Surface Analyzer dashboard](https://www.manageengine.com/products/active-directory-audit/kb/attacks/images/unconstrained-delegation-img-01.png)

### Sepa qué cuentas tienen configurada la delegación sin restricciones, quién la configuró y cuándo

![Know which accounts have unconstrained delegation configured, who set it, and when](https://www.manageengine.com/products/active-directory-audit/kb/attacks/images/unconstrained-delegation-img-02.png)

### Análisis profundo de las modificaciones de los atributos de delegación para identificar posibles ataques de delegación sin restricciones

![Deep dive into delegation attribute modifications to identify potential unconstrained delegation attack](https://www.manageengine.com/products/active-directory-audit/kb/attacks/images/unconstrained-delegation-img-03.png)