Lo sfruttamento delle configurazioni errate di Active Directory è una strada molto battuta dagli aggressori. Secondo Microsoft, ogni giorno vengono presi di mira 95 milioni di account AD. Gli aggressori utilizzano le vulnerabilità della sicurezza di Active Directory per ottenere un accesso privilegiato e muoversi attraverso i sistemi compromessi, raccogliendo risorse preziose, installando malware o installando ransomware, tra le altre tattiche.
Proteggete la vostra organizzazione affrontando al più presto queste comuni configurazioni errate di AD.
1. Committenti non predefiniti con diritti DCSync
La funzione DCSync impersona un controller di dominio (DC) e richiede i dati delle password da un DC mirato utilizzando il Directory Replication Services Remote Protocol.
Individuazione del problema
- Individua gli account a cui sono stati delegati i seguenti diritti:
- Replicare le modifiche alla directory (DS-Replication-Get-Changes)
- Replicare le modifiche alla directory (DS-Replication-Get-Changes-All)
- Replicare le modifiche alla directory in un set filtrato (DS-Replication-Get-Changes)
- Determinare se DCSync viene utilizzato per ospitare altri controller di dominio.
- Determinare se gli account che non sono membri di Domains Admins o Domain Controllers hanno questi diritti.
Bonifica
Per una discussione approfondita su questo problema e su come affrontarlo, si veda questo post AD Security 101.
2. Modifiche dei permessi sull'oggetto AdminSDHolder
AdminSDHolder fornisce le autorizzazioni per gli account e i gruppi protetti. A differenza della maggior parte degli oggetti del dominio Active Directory, AdminSDHolder è di proprietà del gruppo Domain Admins. Per impostazione predefinita, i gruppi Enterprise Admin, Domain Admin e Administrators possono apportare modifiche all'oggetto AdminSDHolder di qualsiasi dominio. Inoltre, i membri del gruppo Administrators o Enterprise Admins possono assumere la proprietà dell'oggetto. Le autorizzazioni del modello di AdminSDHolder sono anche persistenti, il che significa che vengono riapplicate ogni 60 minuti.
Rilevamento
Per trovare configurazioni errate di Active Directory di questo tipo, cercate gli account utente insoliti a cui sono state assegnate le autorizzazioni negli elenchi di controllo degli accessi AdminSDHolder. In genere, lo si scopre rimuovendo un titolare di autorizzazione sconosciuto, come "harry_the_frog", per poi vedere lo stesso titolare ricomparire 60 minuti dopo. Questo dovrebbe essere un fattore scatenante per ricordare la persistenza di AdminSDHolder.
Bonifica
- Usare ADSIEdit per connettersi al contesto di denominazione predefinito e individuare il contenitore AdminSDHolder.
- Selezionare Proprietà.
- In Sicurezza avanzata, fare clic su Ripristina impostazioni predefinite.
- Forzare la replica usando repadmin/syncall.
3. Password reversibili negli Oggetti Criteri di gruppo
L'impostazione di criterio Memorizza password con crittografia reversibile supporta le applicazioni che utilizzano protocolli che richiedono la password dell'utente per l'autenticazione. Questo è un problema perché la crittografia reversibile è, appunto, reversibile. Ciò significa che un aggressore che decifra la crittografia può compromettere l'account.
Rilevamento
Esaminare i criteri di gruppo e determinare se Memorizza codice di accesso con crittografia reversibile è abilitato o meno.
Bonifica
Il rimedio è abbastanza semplice: Basta disabilitare l'azione. Tuttavia, prima di fare ciò, è necessario capire che cosa l'azione interromperà. Probabilmente la riparazione è stata attivata perché alcune applicazioni la richiedono. La compatibilità delle applicazioni è un debito tecnologico non pagato che riguarda tutti. A meno che l'applicazione non possa essere riscritta, potreste essere costretti a mitigare i problemi di sicurezza che l'applicazione potrebbe causare.
4. Accesso anonimo ad Active Directory
L'accesso anonimo significa che gli utenti non autenticati possono leggere e accedere ai dati. Questo accesso è disabilitato per impostazione predefinita, ma potrebbe essere richiesto in alcuni casi legittimi. Con questo accesso, un utente non autorizzato può elencare anonimamente i nomi degli account e utilizzare le informazioni per tentare di indovinare le password o eseguire attacchi di social-engineering.
Rilevamento
- Utilizzando ADSIEdit, controllare il seguente elenco per dSHeuristics impostato come 0000002:
- CN=Servizio di directory
- CN=Windows NT
- CN=Servizi
- CN=Configurazione
- DC=<my domain>
- Determinare se l'accesso anonimo è abilitato (assegnato a "NT Authority/Anonymous" sul dominio o sul contenitore utilizzando Active Directory Users and Computers (ADUC).
Bonifica
- Modificare il valore dell'attributo da 0000002 a 1 o a 0.
- Rimuovere l'accesso anonimo al dominio o al contenitore.
5. Vulnerabilità di Zerologon
La vulnerabilità Zerologon è un exploit nel protocollo netlogon di Active Directory (MS-NRPC) che consente l'accesso ai server che utilizzano NTLM. Questo attacco consente a un utente malintenzionato di impersonare qualsiasi computer del sistema, compreso il DC root. La vulnerabilità consente inoltre di disabilitare le funzioni di sicurezza nel processo di autenticazione netlogon. Utilizzata da un aggressore competente, può anche generare un Golden Ticket, che consente a un aggressore di ottenere il controllo dell'account KRBTGT.
Rilevamento
Il rilevamento può essere difficile perché i token Kerberos sembrano legittimi. I ticket TGT sono validi e firmati da KRBTGT.
Bonifica
L'autenticazione NTLM è funzionale nel prodotto di spedizione e attiva per impostazione predefinita. La disabilitazione dell'autenticazione NTLM può interrompere le applicazioni. Determinate quali applicazioni utilizzano questo vecchio protocollo e correggetele. Quindi disabilitate NTLM e iniziate a usare Kerberos nel vostro dominio Active Directory.
6. Password degli account di servizio non scadute
Gli account di servizio sono configurati con password che non scadono mai. Gli account di servizio con password standard e immutabili sono più facilmente compromessi. Oggi sono disponibili migliori opzioni di gestione delle password per consentire l'accesso senza introdurre questo livello di rischio.
Rilevamento
Cercate gli account con password non scadute in modo da poterli identificare e risolvere.
Bonifica
Implementate la pratica di cambiare gli account dei servizi in account di servizio gestiti dal gruppo. Non è necessario conoscere la password; il sistema la gestirà per voi e la vostra sicurezza sarà migliore per questo cambiamento.
7. Accesso di amministratori non di dominio ai controllori di dominio
Gli utenti che non sono amministratori di dominio possono accedere in remoto a un DC tramite RDP o PowerShell. Gli aggressori possono accedere in remoto a un DC utilizzando PowerShell o i servizi di desktop remoto.
Rilevamento
Controllare l'assegnazione dei diritti utente nelle impostazioni di configurazione.
Bonifica
Microsoft consiglia i seguenti passaggi per risolvere le configurazioni errate di Active Directory di questo tipo:
- Accedere alla sezione GPO Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Assegnazione diritti utente.
- Individuare il criterio Consenti accesso tramite servizi desktop remoti.
- Dopo che il server è stato promosso a controller di dominio, solo il gruppo Administrators (Domain Admins) deve rimanere in questo criterio locale.
Proteggersi dalle configurazioni errate di Active Directory
Un'ultima nota: se c'è un motivo per cui avete modificato un'impostazione predefinita, documentate le modifiche. Questo vi aiuterà nel caso in cui dobbiate tornare alle impostazioni predefinite e ripristinare i permessi validi. La documentazione delle modifiche può anche aiutare gli altri (compreso il prossimo amministratore) a capire perché sono state apportate e a valutare se sono ancora necessarie.
La maggior parte di noi eredita implementazioni di Active Directory che esistono da tempo. Dedicare del tempo alla correzione di queste comuni configurazioni errate di Active Directory e implementare un solido processo di documentazione può contribuire a proteggere la vostra Active Directory dagli attacchi. Lo stesso vale per l'esecuzione di una valutazione per individuare le vulnerabilità comunemente sfruttate. Scaricando ed eseguendo il nostro strumento gratuito di valutazione della sicurezza di Purple Knight AD potrete avere una visione più chiara di questi e altri problemi da inserire nella vostra lista di cose da fare.