Daniel Petri - Responsabile formazione senior

L'iniezione della cronologia degli identificatori di sicurezza (SID) è un sofisticato vettore di cyberattacco che prende di mira gli ambienti Windows Active Directory. Questo attacco sfrutta l'attributo SID History, che ha lo scopo di mantenere i diritti di accesso degli utenti durante le migrazioni da un dominio all'altro. Iniettando valori SID dannosi in questo attributo, un aggressore può aumentare i privilegi e ottenere un accesso non autorizzato alle risorse all'interno dell'ambiente Active Directory.

Che cos'è l'iniezione di storia SID?

L'iniezione della cronologia SID comporta la modifica non autorizzata dell'attributo della cronologia SID di un account utente compromesso in Active Directory. Questo attributo di solito memorizza i SID precedenti di domini più vecchi quando un utente o un gruppo viene migrato a un nuovo dominio. Lo scopo è mantenere l'accesso dell'utente o del gruppo alle risorse.

Gli aggressori sfruttano questa funzione inserendo nell'attributo un SID che corrisponde a un gruppo con privilegi elevati, come Domain Admins. L'attaccante può quindi utilizzare l'account per aumentare i privilegi, creare backdoor o esfiltrare dati.

SID L'iniezione di storia è considerata un vettore di attacco sofisticato perché:

  • Richiede una conoscenza approfondita di Active Directory e dei privilegi elevati.
  • Supera le misure di sicurezza standard che cercano modifiche dirette all'appartenenza al gruppo.
  • Sfrutta una profonda conoscenza di Active Directory e dei meccanismi di autenticazione di Windows.

Come funziona l'iniezione di storia SID?

Alcuni elementi possono rendere gli ambienti particolarmente vulnerabili all'iniezione di storia SID. Questi aspetti includono:

  • Sistemi legacy: I sistemi legacy, in particolare quelli che hanno subito diverse migrazioni di dominio, potrebbero conservare protocolli e configurazioni di sicurezza obsoleti che non sono in linea con le moderne best practice di sicurezza. Questi sistemi hanno spesso attributi residui della cronologia SID che potrebbero essere trascurati durante gli audit di sicurezza.
  • SID trascurati: Durante le migrazioni, gli attributi della cronologia SID possono accumularsi. I SID più vecchi che non sono più rilevanti o che sono stati dismessi potrebbero non essere cancellati correttamente, lasciando una porta sul retro per gli aggressori.
  • Migrazioni complesse: Negli ambienti complessi in cui le migrazioni comportano il consolidamento di più domini, la cronologia SID può diventare un archivio di numerosi SID legacy, aumentando la superficie di attacco.
  • Autorizzazioni non configurate correttamente: La corretta configurazione delle autorizzazioni in Active Directory è fondamentale. La configurazione errata delle autorizzazioni che consente agli account non amministrativi di scrivere sugli attributi della cronologia SID può essere catastrofica.
  • Controlli di accesso troppo ampi: La concessione di ampie autorizzazioni può far sì che gli utenti non amministrativi abbiano la possibilità di modificare attributi sensibili, direttamente o attraverso l'appartenenza a gruppi.
  • Amministrazione delegata: Nelle grandi organizzazioni, la delega di compiti amministrativi è comune. Se non viene controllata correttamente, può portare gli utenti ad avere più permessi del necessario, compresa la possibilità di modificare la cronologia SID.
  • Mancanza di sistemi di avviso: Molte organizzazioni non dispongono di sistemi di avviso configurati per notificare le modifiche agli attributi critici di Active Directory.
  • Politiche di audit inadeguate: Active Directory potrebbe non avere impostazioni di auditing predefinite configurate per tenere traccia delle modifiche agli attributi della cronologia SID, soprattutto se l'organizzazione non ha identificato l'iniezione della cronologia SID come un rischio potenziale.

Un attacco SID History injection prevede diverse fasi che consentono all'attaccante di aumentare il proprio controllo sull'ambiente compromesso.

Fase 1. Compromesso iniziale

Un attaccante spesso inizia un attacco SID History injection guadagnando innanzitutto un punto d'appoggio all'interno della rete. Questa violazione può essere ottenuta con vari metodi:

  • Phishing: invio di e-mail create ad arte che sembrano legittime e che inducono gli utenti a fornire le proprie credenziali.
  • Sfruttamento di vulnerabilità note: Puntare su sistemi non patchati o utilizzare exploit "zero-day".
  • Ingegneria sociale: Manipolazione di individui per indurli a violare i protocolli di sicurezza standard.

In un esempio, gli aggressori hanno preso di mira un istituto finanziario. I malintenzionati hanno indotto un dipendente ad aprire un documento che sfruttava una vulnerabilità nel software di lettura dei documenti dell'azienda. Questo exploit ha portato all'esecuzione di codice dannoso e alla creazione di una backdoor.

Passo 2: Enumerazione dell'ambiente AD

Una volta entrato, l'attaccante enumera l'ambiente Active Directory. Questa fase potrebbe comportare l'uso di:

  • Query LDAP per recuperare informazioni sugli account utente e sulle autorizzazioni ad essi associate.
  • Script PowerShell per automatizzare la raccolta dei dati relativi alla struttura di Active Directory.
  • Strumenti di ricognizione di Active Directory come BloodHound, che possono illustrare le relazioni di privilegio in Active Directory.

Questa enumerazione consente agli aggressori di scoprire account con privilegi elevati (ma scarsamente monitorati).

Passo 3: modifica della cronologia SID

Armato del giusto accesso, l'attaccante procede poi a:

  • Identificare un account di destinazione: Potrebbe trattarsi di un account non molto utilizzato o monitorato, noto come account orfano.
  • Modificare l'attributo SID History: Utilizzando uno strumento come Mimikatz, l'attaccante inietta un SID nella cronologia SID dell'account preso di mira. Questo SID corrisponde al SID di un gruppo con privilegi elevati, come gli amministratori di dominio.

Un caso degno di nota riguarda un'azienda tecnologica. Un utente malintenzionato ha aggiunto il SID del gruppo Enterprise Admins a un account di servizio che di solito non richiede privilegi così elevati.

Passo 4: Escalation dei privilegi

Con l'attributo SID History modificato, l'attaccante può ora:

  • Accesso alle risorse: L'account di destinazione, e quindi l'aggressore, può ora accedere alle risorse consentite solo al gruppo di privilegi elevati abbinato.
  • Creare backdoor: L'attaccante può creare account aggiuntivi o modificare quelli esistenti per assicurarsi un accesso persistente nell'ambiente.

Durante la violazione di un ente governativo, i malintenzionati hanno utilizzato questo metodo per aumentare i privilegi e creare account backdoor per un accesso persistente. Gli aggressori hanno poi utilizzato questi account per esfiltrare dati sensibili per un periodo prolungato.

Quali sono i rischi associati all'iniezione di SID History?

I rischi dell'iniezione di SID History includono

  • Accesso non autorizzato: Gli aggressori accedono alle aree sensibili della rete, causando violazioni dei dati.
  • Escalation dei privilegi: Gli aggressori elevano i privilegi senza modificare direttamente le appartenenze ai gruppi per evitare il rilevamento.
  • Persistenza: Gli aggressori possono utilizzare i SID iniettati per mantenere l'accesso anche dopo la modifica della password o la disattivazione dell'account.
  • Movimento laterale: L'iniezione di storia SID facilita il movimento laterale all'interno della rete, portando a una compromissione più ampia.

I cyberattaccanti hanno utilizzato questo metodo in intrusioni in più fasi, aggravando la violazione iniziale attraverso l'iniezione di storia SID e causando una significativa esfiltrazione di dati e danni al sistema.

Come si può rilevare un attacco di iniezione di storia SID

Per rilevare l'iniezione di storia SID:

  • Esaminare i registri di audit: Esaminare regolarmente i registri di audit di Active Directory per rilevare eventuali modifiche inattese all'attributo SID History.
  • Configurare gli avvisi SIEM: Configurare i sistemi SIEM (Security Information and Event Management) in modo che emettano avvisi sulle modifiche alla cronologia SID. Senza un monitoraggio adeguato, le modifiche agli attributi della cronologia SID possono passare inosservate.
  • Verificate regolarmente la superficie di attacco di Active Directory: Utilizzare gli strumenti di sicurezza di Active Directory per analizzare gli account con attributi SID History non in linea con le migrazioni note. Tali strumenti possono anche rilevare indicatori di compromissione che i sistemi SIEM potrebbero non notare.

Come si può mitigare un attacco SID History injection?

Comprendendo e affrontando gli aspetti vulnerabili, le organizzazioni possono ridurre significativamente il rischio di iniezione di storia SID. Le strategie di mitigazione includono quanto segue:

  • Aggiornare i sistemi preesistenti: Aggiornare o disattivare i sistemi legacy e assicurarsi che tutti gli attributi della cronologia SID siano gestiti e cancellati in modo appropriato durante le migrazioni di dominio.
  • Esaminare le autorizzazioni: Verificare che solo gli account fidati abbiano le autorizzazioni per scrivere sull'attributo SID History.
  • Implementare il privilegio minimo: Controllare regolarmente le autorizzazioni e verificare che agli utenti vengano concessi solo i diritti necessari.
  • Utilizzare le soluzioni PAM: Implementare soluzioni di Privileged Access Management (PAM) per limitare e controllare l'accesso privilegiato.
  • Migliorare il monitoraggio: Implementare soluzioni avanzate di monitoraggio di Active Directory che segnalino le modifiche agli attributi critici come la cronologia SID.
  • Patch e aggiornamenti: mantenere tutti i sistemi patchati e aggiornati per prevenire i vettori di compromissione iniziali.

Inoltre, gli amministratori di Active Directory devono adottare le seguenti misure:

  • Abilitare l'auditing: Controllare Active Directory per le modifiche alla cronologia SID. Idealmente, attivare il rollback automatico di tali modifiche fino a quando non se ne possa verificare la legittimità.
  • Implementare il privilegio minimo: Applicare il principio del minor privilegio a tutti gli account di Active Directory.
  • Educare il personale: Formare il personale IT a riconoscere i segnali di iniezione di storia SID e a rispondere in modo appropriato.
  • Eseguire revisioni periodiche: Eseguire revisioni periodiche degli accessi per i gruppi ad alto privilegio.

Protezione contro l'iniezione di storia SID

L'iniezione della cronologia SID è un attacco furtivo che può portare a significative violazioni della sicurezza. La sottigliezza e la complessità dell'attacco lo rendono particolarmente pericoloso, in quanto spesso può rimanere inosservato senza controlli e monitoraggi specifici incentrati sull'attributo SID History. Gli incidenti reali sottolineano la necessità di misure di sicurezza solide e di una vigilanza costante.

Le organizzazioni devono stabilire solide pratiche di sicurezza, tra cui il monitoraggio regolare, l'accesso con privilegi minimi e la formazione degli utenti, per proteggersi da tali attacchi.
Le organizzazioni devono inoltre rimanere vigili e proattive nel proteggere i loro ambienti Active Directory per contrastare la SID History injection e altre minacce emergenti.