Notas de la versión de 2025 de Tenable Identity Exposure

Consejo: Puede suscribirse para recibir alertas sobre las actualizaciones de la documentación de Tenable.

Estas notas de la versión se ofrecen en orden cronológico inverso.

8 de mayo de 2025

Tenable se complace en anunciar algunas mejoras significativas en el espacio de trabajo de los productos en la nube. Rediseñamos el espacio de trabajo para mejorar la visibilidad de los productos de Tenable y el acceso a estos:

  • Mejora de la información general del producto: ahora puede ver fácilmente los productos que compró y una serie de otros productos disponibles que puede explorar.

  • Información detallada del producto: acceda a Más detalles para ver una demostración del producto y obtener conocimientos detallados sobre cada producto.

  • Utilización del producto: agregamos una funcionalidad de utilización que muestra el porcentaje de uso de los productos a los que está suscrito. Le permite acceder rápidamente a la página Información sobre la licencia.

  • Visibilidad del estado de la versión de prueba: si actualmente está evaluando un producto o lo ha hecho durante el último año, ahora verá el estado de la versión de prueba (En prueba o Versión de prueba vencida) directamente en el espacio de trabajo.

Estos cambios se diseñaron para ayudarlo a aprovechar al máximo sus soluciones de Tenable y descubrir nuevas formas de mejorar su posición de seguridad. Para obtener más información, acceda a la página “Espacio de trabajo” desde cualquier aplicación en la nube de Tenable.

Tenable Identity Exposure 3.92.3 (2025-04-28)

Tenable identificó y resolvió una vulnerabilidad crítica (CVE-2025-32433) que afectaba a la implementación de SSH en Erlang/OTP, en la que un error al manejar los mensajes del protocolo SSH permitía que un actor malintencionado obtuviese acceso no autorizado y ejecutase código arbitrario sin credenciales válidas.

Tenable Identity Exposure 3.92 (2025-04-17)

La versión 3.92 de Tenable Identity Exposure incluye las siguientes reparaciones de errores:

Reparaciones de errores
Relay ahora se vuelve a suscribir a eventos de SMB cuando recibe el error de Win32 “La cuenta no está autorizada para iniciar sesión desde esta estación”.
Tenable Identity Exposure mejoró la precisión de los informes de conteo de usuarios con licencia al resolver un problema que en ocasiones inflaba las cifras de forma temporal.
El script de IoA ahora actualiza la configuración del equipo del GPO de IoA solo durante la instalación, lo que elimina la necesidad de la interacción del usuario.
El motivo del puerto RPC dinámico se migró por completo a la verificación de estado de recopilación de datos del dominio.
Las mejoras de las reglas de correlación de los IoA ahora ofrecen vectores de ataque más precisos para los IoA de PetitPotam.

Tenable Identity Exposure 3.91.1 (2025-04-08)

La versión 3.91.1 de Tenable Identity Exposure incluye la siguiente reparación de errores:

Reparaciones de errores
El motivo “Conexión en funcionamiento con el puerto RPC dinámico” de la verificación de estado se reubicó en la verificación de estado Análisis con privilegios.

Tenable Identity Exposure 3.91 (2025-04-02)

  • Grupo no esencial: este nuevo indicador de exposición (IoE) informa sobre grupos vacíos y grupos con solo un miembro.

    Nota: El IoE Grupo no esencial se publicó inicialmente como dos IoE independientes (Grupo de AD vacío y Grupo de AD con un único miembro) junto con el Centro de exposición el 5 de febrero de 2025. Más adelante, estos dos IoE se reubicaron en la vista Indicador de exposición y se alinearon con otros IoE relacionados con AD. El nuevo IoE Grupo no esencial consolida estos IoE anteriores en una única entidad.

  • Eliminación del sufijo /Default de los nombres de Instancia de exposición, ya que Tenable Identity Exposure considera que todas las debilidades provienen de una única instancia.

  • Las páginas Identidad 360 e Información general sobre la exposición ahora redireccionan a la página Instancias de exposición cuando se profundiza en las debilidades relacionadas.

La versión 3.91 de Tenable Identity Exposure incluye las siguientes reparaciones de errores:

Reparaciones de errores
El indicador de ataque (IoA) Extracción de NTDS ahora resuelve correctamente el atributo Nombre de usuario del vector de ataque de origen.
Eliminación de la restricción que impedía anular la selección de todos los dominios en la configuración del IoA, lo que elimina los errores de verificación de estado debido a GPO faltantes.
El motivo “Falta el parámetro de contraseña de GPO” del indicador de exposición (IoE) Aplicación de políticas de contraseñas débiles en los usuarios ya no informa de las anomalías que sean falsos positivos en la carpeta Policies del dominio.

Tenable Identity Exposure 3.90 (2025-03-19)

  • Servidores de Exchange no admitidos u obsoletos: este nuevo indicador de exposición (IoE) detecta los servidores de Exchange obsoletos que Microsoft ya no admite, así como aquellos en los que faltan las actualizaciones acumulativas más recientes. Para mantener un entorno de Exchange seguro y completamente compatible, corrija los servidores obsoletos o sin parches de inmediato. Si no se corrigen, aumenta el riesgo de explotación, de modo que la organización queda expuesta a filtraciones de datos y ataques de ransomware.

  • El IoE Errores de configuración peligrosos de AD CS ahora informa sobre la vulnerabilidad ESC9 y marca las plantillas de certificados con la marca CT_FLAG_NO_SECURITY_EXTENSION sin protección como anómalas.

  • En las páginas Información general sobre la exposición e Instancias de exposición ahora se muestran los nombres de los inquilinos de proveedores de datos de identidad (dominio de AD, inquilino de Entra ID, etc.) donde se detectaron hallazgos de seguridad.

La versión 3.90 de Tenable Identity Exposure incluye las siguientes reparaciones de errores:

Reparaciones de errores
Los equipos o usuarios eliminados o deshabilitados ya no generan anomalías si las opciones “Mantener… eliminados” o “Mantener… deshabilitados” no se definieron explícitamente como verdadero en los perfiles de seguridad.
El filtro Información general sobre la exposición en la propiedad “Orígenes” ya no sugiere valores irrelevantes.
Después de eliminar un objeto identificado como anómalo en el IoE Restricciones de inicio de sesión para usuarios privilegiados, la anomalía asociada se cierra correctamente.
Tenable Identity Exposure mejoró el aislamiento de búsqueda de entradas entre las páginas Dominios y Cuenta honey.
Tenable Identity Exposure ahora recopila contactos de Active Directory y Entra ID. Ya no detecta como vacíos los grupos que solo tienen contactos como miembros. Además, los datos de los contactos de AD y Entra ID aparecen como recursos en Tenable Inventory.
Tenable Identity Exposure abordó la opción faltante del período de tiempo de los datos en la configuración del informe.
Tenable Identity Exposure agregó más información contextual relacionada con los problemas de inicio de sesión de LDAP.

Tenable Identity Exposure 3.89 (2025-03-10)

  • Identidad 360

    • Se mejoraron los tiempos de carga para varias páginas de Identidad 360, en especial al ver las pestañas Acceso y Derechos de un activo.

    • Tenable Identity Exposure ahora recopila derechos de Active Directory más rápido, lo que hace que los datos estén disponibles antes tras la configuración del producto en la pestaña Derechos de la página Identidad 360 para ver los detalles del activo. Tenable Identity Exposure se centra únicamente en los derechos que afectan el contexto de seguridad de nuestros clientes.

  • Indicadores de exposición (IoE)

    • Certificados asignados en cuentas: anteriormente, este IoE informaba los usuarios privilegiados con solo dos tipos de asignaciones: X509IssuerSubject y X509SubjectOnly. Ahora se amplió su alcance original para incluir asignaciones adicionales: X509RFC822, X509IssuerSerialNumber, X509SKI y X509SHA1PublicKey.

    • Certificados asignados en cuentas: Tenable Identity Exposure mejoró este IoE para informar las asignaciones de certificados explícitas débiles, lo que aborda la técnica de abuso ESC14 de AD CS.

    • Grupo de AD/Entra con un único miembro: el IoE ahora muestra al miembro del grupo en la descripción “Por qué es importante”.

    • Entidad de servicio propia con credenciales: el IoE ahora muestra los detalles de las credenciales detectadas en la descripción “Por qué es importante”.

    • Grupo de AD/Entra con un único miembro y Grupo vacío: estos IoE ahora solo cuentan a los miembros directos para obtener resultados más precisos y significativos.

    • Personalización del perfil de seguridad: se mejoró la descripción de las opciones “Propietario de objeto permitido (por pertenencia a grupos)” para los IoE correspondientes.

  • Verificaciones de estado

    • Permisos para recopilar los datos de dominios de AD: ahora oculta los detalles de “Permisos concedidos para recopilar datos con privilegios” cuando Análisis privilegiado está desactivado en la interfaz de usuario. Asegúrese de que Relay esté actualizado para que esta funcionalidad se ponga en marcha.

    • Accesibilidad al dominio: ahora brinda un motivo más preciso por el cual no se puede acceder al dominio.

La versión 3.89 de Tenable Identity Exposure incluye las siguientes reparaciones de errores:

Reparaciones de errores
De forma predeterminada, Tenable Identity Exposure ahora clasifica los nombres de las debilidades en la página Instancias de exposición en orden ascendente.
En Información general sobre la exposición ya no se muestran debilidades no relacionadas con las identidades.
Tenable Identity Exposure mejoró la legibilidad de los detalles de paginación en Descripción general de identidades e Información general sobre la exposición.
Tenable Identity Exposure mejoró la detección y conciliación de grupos de Active Directory para los usuarios de Tenable One.
En Descripción general de identidades, ahora es posible ver los nombres completos al expandir los valores de la propiedad “Nombres de inquilinos de identidad”.
Tenable Identity Exposure ahora maneja correctamente el evento número 4624 en la versión más reciente de Windows.
Cuando la máquina de un atacante abandona un dominio, el indicador de ataque DCSync ahora puede generar alertas en modo básico.
Tenable Identity Exposure ahora ignora y deja de ignorar correctamente todos los objetos anómalos seleccionados a través de una expresión.
Tenable Identity Exposure ahora garantiza la eliminación adecuada del servicio Envoy durante la desinstalación de Secure Relay, incluso cuando se instaló con Directory Listener.
Tenable Identity Exposure ahora aplica correctamente el filtrado de motivos seleccionado al seleccionar objetos anómalos (cuando corresponde).
Tenable ahora firma digitalmente el script para configurar los indicadores de ataque, lo que evita que las herramientas de seguridad externas lo marquen como un riesgo potencial debido a la falta de una firma.

Tenable Identity Exposure 3.88 (2025-02-20)

  • Indicador de exposición (AD): Errores de configuración peligrosos de Exchange enumera los errores de configuración que afectan los recursos de Exchange o los objetos de esquema de Active Directory subyacentes correspondientes.

La versión 3.88 de Tenable Identity Exposure incluye las siguientes reparaciones de errores:

Reparaciones de errores
El cliente de escucha de indicadores de ataque (IoA) ahora libera memoria de manera eficiente, lo que corrige un problema que apareció en la versión 3.86. Esto solo afecta a los clientes que instalaron los IoA en las versiones 3.86 o 3.87. Estos clientes deben reinstalar los IoA en la versión 3.88.
En el Centro de exposición, los activos afectados con el estado “Resuelto” ya no llevan a una página en blanco sin datos.
Algunos textos relacionados con las debilidades que se muestran en “Instancias de exposición” ahora están mejor estructurados, lo que mejora la claridad y la legibilidad.
El texto relacionado con las debilidades en “Instancias de exposición” ahora tiene viñetas sin saltos de línea innecesarios, lo que mejora la legibilidad y la coherencia.
Las redirecciones de Identidad 360 a Tenable One ya no generan páginas en blanco.
La información sobre herramientas de los valores de la cuadrícula “Descripción general de identidades” ya no aparece duplicada para las propiedades con información sobre herramientas personalizada.
Las páginas “Detalles de identidad” ahora pueden volver a generar el resumen de IA de los activos.
Las filas seleccionadas para exportar en Identidad 360 e “Información general sobre la exposición” ahora permanecen seleccionadas una vez completada la exportación.
La desinstalación de Secure Relay ya no elimina la carpeta Tools compartida con Ceti (Directory Listener). Cuando ambos están instalados en la misma máquina, la carpeta Tools ahora permanece intacta y conserva el binario nssm.
Al agregar columnas en “Información general sobre la exposición”, ahora puede seleccionarlas para exportar datos.
En la página de detalles “Instancias de exposición”, la columna “Clase de activo” ahora se trunca cuando es necesario, con información sobre herramientas en la que se muestra el valor completo.
Los scripts de corrección del Centro de exposición ahora tienen un prefijo con el nombre localizado de la debilidad.
Ahora la localización se admite en más elementos de texto de la interfaz de usuario del Centro de exposición.
Los hipervínculos que se muestran en las páginas “Instancias de exposición” y que llevan a la documentación de Microsoft ahora hacen referencia a la versión localizada de la documentación.
En las exportaciones en CSV de “Activos afectados” en “Instancias de exposición” ahora se muestran los nombres localizados de los encabezados de las columnas.
Tenable Identity Exposure mejoró la seguridad de WebSockets.
Las descripciones de texto de los hipervínculos de “Instancias de exposición” ahora pasan a la siguiente línea cuando superan el espacio disponible.
La verificación de estado “Actividad de los controladores de dominio” ahora detecta los controladores de dominio inactivos en un período de 15 minutos según la actividad del registro de eventos del indicador de ataque. Si bien sigue esperando este período antes de informar sobre errores, ahora informa sobre casos correctos y controladores de dominio reactivados mucho más rápido. Además, una reparación de errores garantiza que la verificación de estado utilice datos actualizados.
Tenable Identity Exposure mejoró la resiliencia de la aplicación con la gestión adecuada de los errores del canal de RabbitMQ durante la publicación de mensajes.
La pestaña de desviaciones se muestra correctamente al hacer clic en eventos en Trail Flow.
Las exportaciones en CSV de Identidad 360 ahora gestionan correctamente los datos que tienen comillas dobles.

Tenable Identity Exposure 3.87 (2025-02-06)

  • Centro de exposición: se eliminan las referencias al Índice de Priorización de Vulnerabilidades (Vulnerability Priority Rating, VPR) de la información general sobre la exposición porque Tenable Identity Exposure no rellena estas puntuaciones en el caso de los indicadores de exposición relacionados con las identidades.

La versión 3.87 de Tenable Identity Exposure incluye las siguientes reparaciones de errores:

Reparaciones de errores
En Identidad 360, el origen de debilidades “TENABLE_IDENTITY_EXPOSURE” ya no está duplicado.
El indicador de ataque Golden Ticket ahora genera una alerta cuando el atacante utiliza un ticket TGT falsificado en el modo básico.
Tenable Identity Exposure abordó la vulnerabilidad de seguridad CVE-2022-24434 que afecta a determinados componentes de software, lo que potencialmente permite a los atacantes aprovechar debilidades como el escalamiento de privilegios, la ejecución remota de código o la denegación de servicio.
Tenable Identity Exposure resolvió un problema por el cual el desencadenamiento de una actualización de una política de grupo podía provocar que el cliente de escucha de registros de eventos de Tenable se detuviese esperando una entrada interactiva del usuario.

Tenable Identity Exposure (2025-02-05)

  • Centro de exposición: el Centro de exposición es una funcionalidad de Tenable Identity Exposure que mejora la posición de seguridad de identidades de su organización. Identifica debilidades y errores de configuración en toda la superficie de riesgo de identidades y cubre los sistemas de identidades subyacentes, como Entra ID, y las identidades de esos sistemas.

    La experiencia del usuario de esta funcionalidad gira en torno a tres conceptos interconectados: Información general sobre la exposición, Instancias de exposición y Hallazgos. Tenable Research respalda estos conceptos con un nuevo motor de seguridad e indicadores de exposición (IoE) desarrollados de forma específica para impulsar su funcionalidad.

    Para obtener más información, consulte Centro de exposición en la Guía del usuario de Tenable Identity Exposure.

  • Nuevos indicadores de exposición de Entra ID

    Nombre Descripción
    Capacidad de las cuentas estándar de registrar aplicaciones De forma predeterminada, cualquier usuario de Entra puede registrar aplicaciones en el inquilino. Si bien esta funcionalidad resulta práctica y no representa una vulnerabilidad de seguridad inmediata, conlleva ciertos riesgos. Por lo tanto, según las mejores prácticas, Tenable recomienda deshabilitar esta capacidad.
    Aplicación que permite la autenticación de varios inquilinos Las aplicaciones de Entra, que permiten la autenticación de varios inquilinos, pueden brindar acceso no autorizado a usuarios malintencionados si esta configuración no se habilitó con pleno conocimiento y sin implementar verificaciones de autorización adecuadas en el código de la aplicación.
    La directiva de acceso condicional deshabilita Evaluación continua de acceso Evaluación continua de acceso es una funcionalidad de seguridad de Entra ID que permite reacciones rápidas a los cambios en las políticas de seguridad o actualizaciones en el estado de un usuario. Por este motivo, no la deshabilite.
    Permisos de aplicación peligrosos que afectan al inquilino Microsoft expone las API en Entra ID para permitir que las aplicaciones de terceros realicen acciones en los servicios de Microsoft por sí solas (lo que se denomina “permisos de aplicación”). Algunos permisos pueden representar una amenaza grave a la totalidad del inquilino de Microsoft Entra.
    Permisos delegados peligrosos que afectan al inquilino Microsoft expone las API en Entra ID para permitir que las aplicaciones de terceros realicen acciones en los servicios de Microsoft por sí solas (lo que se denomina “permisos de aplicación”). Algunos permisos pueden representar una amenaza grave a la totalidad del inquilino de Microsoft Entra.
    Cuenta deshabilitada asignada a un rol privilegiado Contar con un proceso de administración de cuentas sano exige supervisar las asignaciones a roles privilegiados.
    Dispositivo inactivo Los dispositivos inactivos plantean riesgos de seguridad, como configuraciones obsoletas y vulnerabilidades sin parches. Sin una supervisión y actualizaciones periódicas, estos dispositivos obsoletos se convierten en objetivos potenciales de explotación, lo que pone en peligro la integridad de los inquilinos y la confidencialidad de los datos.
    Usuario sin privilegios inactivo Los usuarios sin privilegios inactivos plantean riesgos de seguridad, ya que los atacantes pueden aprovecharse de ellos para obtener acceso no autorizado. Sin una supervisión y desactivación periódicas, estos usuarios obsoletos crean puntos de entrada potenciales para actividades malintencionadas al expandir la superficie de ataque.
    Usuario privilegiado inactivo Los usuarios privilegiados inactivos plantean riesgos de seguridad, ya que los atacantes pueden aprovecharse de ellos para obtener acceso no autorizado. Sin una supervisión y desactivación periódicas, estos usuarios obsoletos crean puntos de entrada potenciales para actividades malintencionadas al expandir la superficie de ataque.
    Grupo dinámico con una regla explotable Los atacantes pueden aprovecharse de los grupos dinámicos en Microsoft Entra ID mediante la manipulación de atributos automodificables, lo que les permite agregarse como miembros del grupo. Esta manipulación permite el escalamiento de privilegios y el acceso no autorizado a recursos confidenciales ligados a los grupos.
    Grupo de Entra vacío Los grupos vacíos pueden generar confusión, poner en peligro la seguridad y generar la infrautilización de los recursos. En general, se aconseja definir un propósito claro para los grupos y garantizar que contengan miembros pertinentes.
    Valores predeterminados de seguridad en Entra no habilitados Los valores predeterminados de seguridad en Entra ID ofrecen opciones recomendadas por Microsoft y preconfiguradas para mejorar la protección de los inquilinos.
    Lista de dominios federados La configuración de dominio federado malintencionada es una amenaza común, que los atacantes usan como puerta trasera de autenticación para el inquilino de Entra ID. Verificar los dominios federados existentes y recientemente agregados es fundamental para garantizar que las configuraciones sean confiables y legítimas. Este indicador de exposición ofrece una lista completa de dominios federados y sus atributos pertinentes para ayudarlo a tomar decisiones fundamentadas sobre el estado de seguridad.
    Error de coincidencia de certificados de firma de federación Microsoft Entra ID permite la delegación de la autenticación a otro proveedor por medio de la federación. Sin embargo, los atacantes con privilegios elevados pueden aprovecharse de esta funcionalidad al agregar un certificado malintencionado de firma de tokens, lo que lleva a la persistencia y al escalamiento de privilegios.
    Entidad de servicio propia con credenciales Las entidades de servicio propias tienen permisos potentes, pero se suelen pasar por alto debido a su gran volumen, la falta de visibilidad y la pertenencia a Microsoft. Los atacantes agregan credenciales a estas entidades para aprovechar sigilosamente sus privilegios con el fin de escalamiento de privilegios y persistencia.
    Cuenta de invitado con un rol privilegiado Las cuentas de invitado son identidades externas que pueden representar un riesgo de seguridad cuando tienen asignados roles privilegiados. Esto otorga privilegios sustanciales dentro del inquilino a personas ajenas a la organización.
    Cuentas de invitado con acceso equivalente al de las cuentas normales No se aconseja configurar Entra ID para que considere los invitados como usuarios normales, ya que esto puede permitir que invitados malintencionados lleven a cabo un reconocimiento exhaustivo de los recursos del inquilino.
    Número elevado de administradores Un número elevado de administradores aumenta la superficie de ataque y representa riesgos de seguridad debido a sus privilegios elevados. Esto también indica que el principio de privilegios mínimos no se respeta.
    Puerta trasera conocida de dominios federados Microsoft Entra ID permite la delegación de la autenticación a otro proveedor por medio de la federación. Sin embargo, los atacantes con privilegios elevados pueden explotar esta funcionalidad al agregar su dominio federado malintencionado, lo que lleva a la persistencia y al escalamiento de privilegios.
    Autenticación heredada no bloqueada Los métodos de autenticación heredados no admiten la autenticación multifactor (MFA), lo que permite a los atacantes seguir realizando ataques de fuerza bruta, relleno de credenciales y difusión de contraseñas.
    Autenticación multifactor faltante para cuentas sin privilegios La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es habilitar la MFA, incluso para las cuentas sin privilegios. Las cuentas que no tienen registrado ningún método de MFA no pueden beneficiarse de esta funcionalidad.
    Autenticación multifactor faltante para cuentas privilegiadas La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es habilitar la MFA, incluso para las cuentas sin privilegios. Las cuentas que no tienen registrado ningún método de MFA no pueden beneficiarse de esta funcionalidad.
    Autenticación multifactor no obligatoria para un rol privilegiado La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es habilitar la MFA, en especial cuando se trata de cuentas privilegiadas con roles privilegiados asignados.
    Autenticación multifactor no obligatoria para inicios de sesión de riesgo La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es exigir la MFA para inicios de sesión de riesgo; por ejemplo, cuando la solicitud de autenticación pueda no provenir del propietario legítimo de la identidad.
    Dispositivo no utilizado nunca Evite las cuentas creadas previamente de dispositivos no utilizados nunca, ya que indican una mala higiene de seguridad y pueden representar riesgos de seguridad.
    Usuario sin privilegios no utilizado nunca Las cuentas de usuario sin privilegios que no se utilizan nunca son vulnerables a ataques, ya que a menudo evaden la detección de las medidas defensivas. Además, sus contraseñas predeterminadas las convierten en objetivos prioritarios de los atacantes.
    Usuario privilegiado no utilizado nunca Las cuentas de usuario privilegiado que no se utilizan nunca son vulnerables a ataques, ya que a menudo evaden la detección de las medidas defensivas. Además, sus contraseñas predeterminadas las convierten en objetivos prioritarios de los atacantes.
    Protección de contraseñas no habilitada para entornos locales Protección de contraseñas de Microsoft Entra es una funcionalidad de seguridad que evita que los usuarios establezcan contraseñas fáciles de adivinar con el fin de mejorar la seguridad general de las contraseñas en una organización.
    Convención de nomenclatura de cuentas privilegiadas Contar con una convención de nomenclatura para usuarios privilegiados en Entra ID es fundamental para la seguridad, la estandarización y el cumplimiento de auditorías, además de facilitar la administración.
    Cuenta de Entra con privilegios sincronizada con Active Directory (híbrida) Las cuentas híbridas (es decir, las que se sincronizan desde Active Directory) que cuentan con roles privilegiados en Entra ID representan un riesgo de seguridad, ya que permiten que los atacantes que vulneren AD tengan también acceso a Entra ID. Las cuentas con privilegios de Entra ID deben ser cuentas solo en la nube.
    Cuenta privilegiada de Entra con acceso a servicios de Microsoft 365 Mantenga cuentas de Entra independientes para tareas administrativas: una cuenta estándar para uso diario y una cuenta privilegiada dedicada para actividades de administración. Este enfoque minimiza la superficie de ataque de la cuenta privilegiada, lo que mejora la seguridad.
    Grupo público de Microsoft 365 Los grupos de Microsoft 365 almacenados en Entra ID son públicos o privados. Los grupos públicos representan un riesgo de seguridad porque cualquier usuario dentro del inquilino puede unirse a ellos y acceder a sus datos (chats o archivos de Teams, correos electrónicos, etc.).
    Mostrar contexto adicional en las notificaciones de Microsoft Authenticator Para mejorar la visibilidad, habilite las notificaciones de Microsoft Authenticator para mostrar el contexto adicional, como el nombre de la aplicación y la geolocalización. Esto ayuda a los usuarios a detectar y rechazar solicitudes de autenticación con MFA o sin contraseña potencialmente malintencionadas, lo que mitiga de manera eficaz el riesgo de ataques de fatiga de la MFA.
    Grupo de Entra con un único miembro No es aconsejable crear un grupo con un solo miembro, ya que genera redundancia y complejidad innecesarias. Esta práctica agrega capas adicionales de gestión, lo que puede reducir la eficiencia que los grupos están diseñados para proporcionar en términos de control de acceso y administración optimizados.
    Asignación sospechosa del rol Cuentas de sincronización de directorios Cuentas de sincronización de directorios es un rol privilegiado de Entra, oculto dentro de los portales de Azure y Entra ID, que en general se designa para cuentas de servicio de Microsoft Entra Connect (anteriormente Azure AD Connect). Sin embargo, agentes malintencionados pueden explotar este rol para realizar ataques encubiertos.
    Funcionalidad Pase de acceso temporal habilitada La funcionalidad Pase de acceso temporal (TAP) es un método de autenticación temporal que utiliza un código de acceso de uso limitado o de tiempo limitado. Si bien es una funcionalidad legítima, es más seguro deshabilitarla para reducir la superficie de ataque si su organización no la requiere.
    Cuentas de invitado sin restricciones De forma predeterminada, Entra ID limita el acceso de los usuarios invitados para reducir su visibilidad dentro del inquilino. Puede mejorar aún más la seguridad y la privacidad al endurecer estas restricciones.
    Consentimiento de usuario sin restricciones para aplicaciones Entra ID permite a los usuarios consentir de forma autónoma el acceso de aplicaciones externas a los datos de la organización, lo que los atacantes pueden aprovechar en ataques de “concesión de consentimiento ilícito”. Para evitar esto, restrinja el acceso a editores verificados o exija la aprobación de un administrador.
    Período de validez inusual de certificados de firma de federación Un período de validez inusualmente alto para un certificado de firma de federación es sospechoso, ya que podría indicar que un atacante obtuvo privilegios elevados en Entra ID y creó una puerta trasera a través del mecanismo de confianza de la federación.
    Dominio sin verificar Confirme la titularidad de todos los dominios personalizados en Entra ID. Mantenga los dominios sin verificar solo temporalmente: verifíquelos o quítelos para mantener una lista de dominios prolija y permitir que las revisiones sean eficientes.

Tenable Identity Exposure 3.86 (2025-01-23)

  • Indicador de exposición: un nuevo IoE, Información de Entra ID híbrido, ofrece información sobre los datos de Microsoft Entra ID replicados en la instancia local de Active Directory, lo que permite a las organizaciones identificar posibles riesgos de seguridad y abordar los desajustes con respecto a las políticas.

  • Indicadores de exposición

    • Errores de configuración peligrosos en cuentas de servicios administradas: se mejoró este IoE para incluir compatibilidad con grupos, lo que permite un control optimizado del acceso a una cuenta de servicios administrada por grupo.

    • Asegurar la coherencia de SDProp: se mejoraron las recomendaciones.

    • Shadow Credentials: se mejoraron las recomendaciones de corrección de Return of Coppersmith’s Attack (ROCA). Introducción de una nueva opción para eliminar posibles falsos positivos relacionados con entornos híbridos con Entra ID cuando la funcionalidad “escritura diferida de dispositivo” está deshabilitada. Esto tiene un impacto en el motivo “Credencial de clave huérfana” de este IoE.

    • Se incluyeron dos nuevas opciones para mejorar el control de la propiedad de los objetos y los permisos por pertenencia a grupos:

    • Propietario de objeto permitido (por pertenencia a grupos): permite que las entidades de seguridad se designen como propietarias de objetos mediante su pertenencia a grupos.

    • Lista de administradores permitidos (por pertenencia a grupos): permite la asignación de permisos especiales a las entidades de seguridad en función de su pertenencia a grupos.

  • Indicador de ataque: se mejoró el texto del vector de ataque del IoA Golden Ticket.

  • Atributos y tipos de confianza en Servicios de directorio

    • El atributo trustType ahora admite el valor TTAAD (TRUST_TYPE_AAD).

    • El atributo trustAttributes ahora admite el valor TDAV (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION).

  • Función de exportación: los usuarios pueden elegir el separador (coma o punto y coma) al exportar en CSV, lo que ofrece flexibilidad para adaptarse a diversos casos de uso. El navegador recuerda el último separador utilizado para futuras exportaciones.

La versión 3.86 de Tenable Identity Exposure incluye las siguientes reparaciones de errores:

Reparaciones de errores
La interfaz web ahora puede manejar caracteres especiales indicados en las verificaciones de estado.
El IoE Delegación peligrosa de Kerberos ahora incluye todos los atributos incriminatorios relativos al SPN huérfano.
Los nodos de nivel 0 de la vista de activos ahora están constantemente disponibles.
Tenable Identity Exposure ahora evita que las llamadas sin autenticar con servicios internos se guarden en los registros de actividad, lo que garantiza que los registros sean más claros y precisos.
Ahora se considera que la verificación de estado de las versiones del recopilador de datos y Relay se encuentra en buen estado (verde) si las versiones de Relay y el recopilador de datos coinciden en las actualizaciones principales y secundarias o si solo difieren en un número en la versión secundaria. Esto proporciona cierta flexibilidad para las actualizaciones automáticas o cuando la actualización del software está un poco por delante de la plataforma durante las implementaciones.
Tenable Identity Exposure ya no impide que el rastreo se complete correctamente si la recopilación de datos confidenciales no está configurada correctamente.
Tenable Identity Exposure mejoró la velocidad de análisis del registro de eventos de Windows, lo que evita que el producto acumule retrasos. Debe volver a implementar los indicadores de ataque para beneficiarse de este cambio.

Tenable Identity Exposure (2025-01-10)

  • Identidad 360: una nueva funcionalidad de Tenable Identity Exposure centrada en la identidad ofrece un inventario completo y exhaustivo de cada identidad en la superficie de riesgo de identidades de la organización.

    Esta funcionalidad unifica las identidades de Active Directory y Entra ID y permite clasificarlas según su riesgo, de modo que pueda clasificar las identidades en su organización desde la de mayor riesgo a la de menor.

    Además, Identidad 360 permite a los usuarios comprender de manera cabal cada identidad a través de diversas perspectivas contextuales, como cuentas, debilidades y dispositivos asociados con una identidad determinada para obtener una visión completa de esa identidad.

    Para obtener más información, consulte Identidad 360 en la Guía del usuario de Tenable Identity Exposure.

Tenable Identity Exposure 3.85 (2025-01-08)

La versión 3.85 de Tenable Identity Exposure incluye las siguientes reparaciones de errores:

Reparaciones de errores
Tenable Identity Exposure ahora recupera el atributo pwdLastSet anterior para calcular el intervalo entre dos restablecimientos de contraseña en ataques que notifica el IoA Cambio sospechoso de contraseña de controlador de dominio.
Tenable Identity Exposure corrigió las opciones “Umbral de bloqueo” y “Duración del bloqueo” del IoE Aplicación de políticas de contraseñas débiles en los usuarios, lo que le permite incluir en la lista de permitidos anomalías cuando sus valores son iguales a 0.
El IoA Volcado de credenciales del sistema operativo ahora resuelve correctamente la IP de origen, el nombre de host de origen y la IP de destino cuando NT AUTHORITY\SYSTEM desencadena el ataque.
Tenable Identity Exposure corrigió una vulnerabilidad de divulgación de credenciales para evitar que los administradores extraigan las credenciales de las cuentas SMTP almacenadas.