La sicurezza di Microsoft Active Directory comporta la gestione di una serie di rischi, che vanno dagli errori di gestione alle vulnerabilità non risolte. Scriviamo spesso del fatto che i cyber-attaccanti prendono di mira l'AD per elevare i privilegi e ottenere la persistenza nell'organizzazione. Se si indaga su una tipica violazione dei dati, si scopre che probabilmente sono state utilizzate credenziali rubate: a volte per l'accesso iniziale, a volte per accedere a sistemi critici, ma sempre a scapito dell'organizzazione presa di mira.
L'hardening di AD inizia con la conoscenza delle vulnerabilità e degli errori comuni di configurazione e gestione che aprono la strada alle compromissioni. Per difendere l'AD, gli amministratori devono sapere come gli aggressori prendono di mira il loro ambiente. Quanti, tuttavia, sono in grado di superare un quiz a sorpresa sui tipi di falle nella sicurezza che gli attori delle minacce stanno attraversando mentre si muovono attraverso le fasi della violazione?
Lettura correlata
Autenticazione fallita
Sembra ironico, ma alcuni degli errori di configurazione più diffusi e dannosi per Active Directory sono legati al processo di autenticazione. Si consideri uno scenario in cui un'organizzazione vuole consentire a un'applicazione di terze parti o di casa che non si integra con AD, ma vuole interrogare AD per gli utenti attivi. La via più semplice è quella di abilitare semplicemente l'accesso anonimo ad Active Directory. Se da un lato questa azione può avere senso dal punto di vista della produttività per gli amministratori impegnati, dall'altro consente agli utenti non autenticati di interrogare AD. Se questa funzionalità viene abilitata senza controlli di mitigazione, il profilo di rischio dell'organizzazione aumenterà notevolmente.
La vulnerabilità Zerologon segnalata nel 2020 è stata rapidamente sfruttata dagli aggressori perché consentiva di modificare o rimuovere la password di un account di servizio su un controller di dominio. I risultati di un exploit riuscito potrebbero essere catastrofici. Password deboli, password che non scadono, password assenti: tutti questi sono segnali di allarme che indicano che l'ambiente AD di un'organizzazione non è sicuro.
I criteri di sicurezza delle password dovrebbero essere all'ordine del giorno in tutta l'infrastruttura di Active Directory. Qualsiasi account con il flag PASSWD_NOTREQD impostato deve essere automaticamente sottoposto a un controllo supplementare e deve avere una ragione giustificabile per la sua configurazione. Inoltre, le password, soprattutto quelle degli account di servizio, dovrebbero essere ruotate periodicamente. Lasciare le password invariate per lunghi periodi di tempo aumenta le probabilità di successo di un attacco di forza bruta, in quanto gli aggressori avranno più tempo per tentare di modificarle.
I problemi di autenticazione da tenere d'occhio includono:
- Computer e oggetti Group Managed Service Accounts (gMSA) con password impostate da oltre 90 giorni
- Password reversibili trovate negli oggetti Criteri di gruppo (GPO)
- Accesso anonimo ad Active Directory abilitato
- Vulnerabilità di Zerologon (CVE-2020-1472) se la patch non viene applicata.
Permessi eccessivi
Poiché la maggior parte degli ambienti AD è in produzione da molti anni, le loro superfici di attacco sono cresciute. Mmolte delle vulnerabilità accumulate da una foresta possono essere ricondotte al modello di modello che qualcuno ha bisogno di fare qualcosa, di solito in fretta, e il meno possibile-privilegio per ottenerlo è troppo troppo dispendioso in termini di tempo, non facilmente disponibileo semplicemente non è noto. Di conseguenza, l'utente, il gruppo o l'autorizzazione vengono privilegiati in modo eccessivo solo per garantire che la richiesta venga soddisfatta e il ticket chiuso. E, naturalmente, questo diritto non viene mai rimosso, per cui la superficie di attacco cresce sempre di più.
In realtà, non è raro che gli ambienti AD abbiano un numero inutilmente elevato di amministratori di dominio, fatto che può essere ancora più preoccupante se questi account sono orfani e aspettano solo di essere sfruttati in un attacco. Gli account di servizio con permessi in eccesso rappresentano un rischio elevato anche perché le loro password sono solitamente impostate per non scadere e molte di esse hanno password deboli (il che le rende un buon obiettivo di kerberoasting). Con l'aumentare del numero di utenti con privilegi amministrativi, aumenta anche la superficie di attacco da proteggere. L'appartenenza a questi gruppi deve essere strettamente controllata.
Naturalmente, gli errori possono capitare. Quando un ambiente AD diventa più grande e complesso, ad esempio, qualcuno potrebbe non tenere conto in modo corretto dei permessi ereditati e concedere inavvertitamente troppi privilegi a un account. Ma anche una corretta gestione della delega dei privilegi non è sufficiente se gli aggressori passano all'offensiva.
A titolo di esempio, si consideri l'impatto di un attacco AdminSDHolder. A titolo informativo, il contenitore AdminSDHolder memorizza il descrittore di sicurezza applicato ai gruppi privilegiati. Per impostazione predefinita, ogni 60 minuti il processo SDPROP (Security Description Propagation) confronta i permessi sugli oggetti protetti e inverte le discrepanze in base a quanto definito in AdminSDHolder.
In un attacco AdminSDHolder, gli attori delle minacce sfruttano SDPROP per mantenere la persistenza sostituendo le autorizzazioni di un oggetto con le modifiche non autorizzate dell'attaccante. Se le modifiche ai permessi vengono identificate e annullate, ma le modifiche non autorizzate ad AdminSDHolder non vengono rilevate, le modifiche dell'aggressore vengono ripristinate.
La verifica dei permessi e il monitoraggio delle attività sospette sono la migliore difesa contro l'abuso dei privilegi.
I problemi di autorizzazione da tenere d'occhio includono:
- Oggetti privilegiati con proprietari non privilegiati
- Modifiche dei permessi sull'oggetto AdminSDHolder
- Utenti non privilegiati con diritti di sincronizzazione DC sul dominio
- Modifiche allo schema del descrittore di sicurezza predefinito negli ultimi 90 giorni
Scheda di sicurezza
Grazie alle informazioni sugli indicatori di esposizione (IOE), le organizzazioni possono rafforzare la sicurezza del proprio AD. Uno strumento che può aiutare è Purple KnightPurple Knight interroga l'ambiente Active Directory in modalità "sola lettura" ed esegue una serie completa di test contro i vettori di attacco più comuni ed efficaci per individuare le configurazioni a rischio e i punti deboli della sicurezza.
La scansione di Active Directory fornisce informazioni sulla sua posizione di sicurezza e riduce il rischio che modifiche non autorizzate o configurazioni errate passino inosservate. Gli amministratori di AD devono conoscere non solo il loro mestiere, ma anche le tattiche degli avversari. Tenendo a mente i segnali di allarme critici, possono rafforzare l'AD contro gli attacchi più comuni.