Active Directory (AD) è la pietra miliare della maggior parte delle reti aziendali e fornisce autenticazione, autorizzazione e controllo degli accessi centralizzati a una miriade di risorse. Tuttavia, la complessità della configurazione di AD rende spesso il servizio un bersaglio privilegiato per i malintenzionati che cercano di sfruttare i punti deboli della sicurezza di un'organizzazione. Diverse configurazioni errate, ad esempio l'uso improprio di una funzionalità integrata in AD responsabile di alcune repliche di AD, possono portare a tali vulnerabilità. Manipolando questa potente funzionalità, gli aggressori possono accedere a dati sensibili, in particolare agli hash delle password, memorizzati nel database di AD sui controller di dominio (DC).
Che cos'è un attacco DCSync?
Un attacco DCSync è un metodo che i malintenzionati possono utilizzare per impersonare un DC sfruttando il protocollo remoto Directory Replication Services (DRS) per richiedere i dati delle password da un DC mirato. Il protocollo remoto DRS consente una sincronizzazione efficiente degli oggetti dei servizi di directory e dei loro attributi tra tutti i DC di una foresta AD. Tuttavia, gli aggressori possono sfruttare questa funzionalità per ottenere l'accesso non autorizzato alle credenziali degli utenti e potenzialmente scalare i propri privilegi all'interno della rete.
Sebbene questa funzionalità sia fondamentale per la corretta replicazione di un ambiente AD, solo un numero limitato di principi di sicurezza dovrebbe avere i diritti necessari per eseguire queste azioni. Sfortunatamente, configurazioni errate o mancanza di consapevolezza possono portare all'assegnazione di questi diritti a principi di sicurezza non predefiniti, creando un potenziale rischio per la sicurezza.
In che modo i diritti di replica di AD non corretti possono avere un impatto sulla sicurezza?
Per impostazione predefinita, vengono concessi diritti specifici attraverso i diritti estesi Replicating Directory Changes e Replicating Directory Changes All all'interno di AD. Questi diritti consentono a un responsabile della sicurezza di replicare gli oggetti della directory e i loro attributi, compresi i dati sensibili delle password, da un DC a un altro. Sebbene questi diritti siano necessari per scopi legittimi di replica, i malintenzionati possono sfruttarli per eseguire attacchi DCSync, esfiltrare gli hash delle password e altre informazioni sensibili dal DC.
L'impatto di un attacco di questo tipo può essere grave. Gli attacchi DCSync possono consentire agli aggressori di impersonare utenti legittimi, aumentare i privilegi e spostarsi lateralmente all'interno della rete. Nel peggiore dei casi, l'attaccante può ottenere i privilegi di amministratore del dominio e assumere il controllo completo dell'infrastruttura AD.
Quali strumenti possono essere utilizzati dagli aggressori per sferrare un attacco DCSync?
Attualmente sono disponibili diversi strumenti per l'esecuzione di un attacco DCSync:
- Mimikatz è un potente strumento di post-exploitation in grado di estrarre password in chiaro, hash e ticket Kerberos dalla memoria. Questo strumento include un modulo DCSync che gli attori delle minacce possono utilizzare per eseguire attacchi DCSync ed estrarre hash di password dai DC.
- Impacket è una raccolta di classi Python per lavorare con i protocolli di rete. Questo strumento include uno script chiamato secretsdump.py che consente di effettuare attacchi DCSync.
- PowerShell Empire è un framework di post-exploitation che fornisce una serie di moduli per operazioni di sicurezza offensive. Uno dei moduli, Invoke-DCSync, consente di effettuare attacchi DCSync.
Identificazione dei presidi di sicurezza predefiniti con diritti di replica errati
Per impostazione predefinita, questi diritti sono assegnati a un numero limitato di presidi di sicurezza, che in genere comprendono:
- Amministratori di dominio
- Amministratori aziendali
- Amministratori
- Controllori di dominio
- Controllori di dominio di sola lettura
Questi principi di sicurezza sono solitamente affidabili e dispongono dei privilegi necessari per eseguire le attività di replica della directory all'interno del dominio. Il rischio si presenta quando ai principi di sicurezza non predefiniti vengono inavvertitamente concessi i diritti di replica, offrendo agli aggressori l'opportunità di sfruttare la funzione.
Individua gli account a cui sono stati delegati i seguenti diritti:
- Replicare le modifiche alla directory (DS-Replication-Get-Changes)
- Replicare le modifiche alla directory (DS-Replication-Get-Changes-All)
- Replicare le modifiche alla directory in un set filtrato (DS-Replication-Get-Changes)
Determinare se DCSync viene usato per ospitare altri DC e stabilire se gli account che non sono membri di Domains Admins o Domain Controllers hanno questi diritti.
Tecniche per scoprire i presidi di sicurezza non predefiniti con diritti di replica
Per identificare e gestire in modo proattivo il rischio associato a un attacco DCSync è essenziale monitorare e controllare l'ambiente AD per individuare i presidi di sicurezza non predefiniti che possiedono questi diritti. Si possono utilizzare diversi metodi:
- Utilizzare gli strumenti AD integrati, come ACL Diagnostics o Ldp, per interrogare le liste di controllo degli accessi (ACL) sull'oggetto del dominio.
- Sfruttare gli script PowerShell per enumerare i principi di sicurezza con diritti DCSync.
- Implementare soluzioni di auditing specializzate nell'individuazione di configurazioni errate dell'AD e di rischi per la sicurezza, come ad esempio Purple Knight.
Migliori pratiche per mitigare i rischi associati a un attacco DCSync
Per ridurre al minimo i rischi associati a un attacco DCSync, considera l'implementazione di queste best practice:
- Limitare il numero di presidi di sicurezza con diritti di replica solo a quelli che richiedono assolutamente tali diritti.
- Esaminare e verificare regolarmente l'ambiente AD per identificare i principi di sicurezza non predefiniti con questi diritti e rimuovere le autorizzazioni non necessarie.
- Implementare il principio del minimo privilegio, assicurando che gli utenti e i gruppi abbiano solo il livello minimo di accesso necessario per svolgere le loro mansioni.
- Utilizzare password forti e univoche per tutti gli account privilegiati per ridurre il rischio di compromissione delle credenziali.
- Monitorare e registrare continuamente gli eventi di sicurezza all'interno dell'ambiente AD per rilevare e rispondere tempestivamente alle potenziali minacce.
Formazione e sensibilizzazione del personale IT e dei team di sicurezza
È essenziale educare il personale IT e i team di sicurezza sui rischi potenziali associati a questi diritti. Aumentando la consapevolezza di questo potenziale attacco, si aumenta la postura di sicurezza dell'ambiente AD. È importante svolgere regolarmente sessioni di formazione e workshop per garantire che i team siano aggiornati sulle ultime best practice di sicurezza, sulle informazioni sulle minacce e sulle strategie di difesa efficaci.
Tenere il passo con le ultime informazioni sulle minacce
Il panorama delle minacce è in continua evoluzione. Rimanere informati sulle ultime minacce e tecniche di attacco è fondamentale per mantenere un ambiente AD sicuro. Iscriviti alle news del settore, ai blog sulla sicurezza e ai feed di intelligence sulle minacce per restare al passo con le informazioni sulle minacce emergenti, sulle vulnerabilità e sulle best practice. Condividi queste informazioni con il personale IT e i team di sicurezza per garantire che rimangano vigili e preparati a contrastare potenziali attacchi DCSync.
In sintesi, per difendere l'ambiente AD dagli attacchi DCSync (e dalle altre minacce) è necessaria una strategia completa. Ciò comporta l'esecuzione di controlli regolari, l'adesione alle best practice, l'investimento in iniziative di formazione e sensibilizzazione e l'aggiornamento sulle informazioni più recenti sulle minacce. Affrontando in modo proattivo i problemi di sicurezza, è possibile mitigare efficacemente i rischi associati ai diritti DCSync, garantendo la protezione delle preziose risorse dell'organizzazione.