Sean Deuby | Tecnologo principale

Secondo il più recente Digital Defense Report di Microsoft, quasi la metà di tutti gli impegni di Microsoft Incident Response ha riscontrato configurazioni di Active Directory non sicure. Ciò corrobora un rapporto simile di Mandiant secondo cui 9 attacchi informatici su 10 sfruttano un server Active Directory. Queste statistiche che fanno riflettere ci ricordano che le organizzazioni che sperano di creare un ambiente IT più resiliente devono semplicemente dare priorità alla protezione avanzata di Active Directory.

Noi di Semperis siamo orgogliosi della nostra conoscenza della sicurezza AD, comprese le best practice per la protezione avanzata dei server Active Directory. Continua a leggere per saperne di più sulla protezione avanzata di Active Directory o richiedi una demo oggi stesso per scoprire come il nostro supporto per Active Directory migliora la sicurezza informatica complessiva della tua organizzazione.

Poche situazioni sono così dirompenti come un attacco ad Active Directory. Ogni utente e dispositivo si affida al servizio di identità. Gli aggressori che compromettono Active Directory possono potenzialmente:

  • Elevare i loro permessi
  • Creare ed eliminare account
  • Accesso ai dati critici
  • Persistere senza essere rilevati nell'ambiente della vittima

Uno degli obiettivi della cybersecurity è mantenere la continuità delle operazioni aziendali. Costruire una difesa forte che consenta la resilienza informatica significa proteggere Active Directory dalle minacce, dai punti deboli e dai percorsi di attacco comuni utilizzati dagli attori delle minacce, nonché pianificare un ripristino rapido e sicuro di Active Directory.

Lettura correlata: Cos'è la sicurezza di Active Directory?

Pensare come un cyberattaccante

Gli attacchi contro Active Directory iniziano in genere con una ricognizione, seguita da un piano di escalation dei privilegi e di spostamento laterale. Sfruttando l'apertura di Active Directory, i criminali informatici utilizzano la ricognizione per scoprire tutto, dagli account di servizio alla composizione dei vari gruppi.

Per impostazione predefinita, qualsiasi utente autenticato può facilmente utilizzare il Lightweight Directory Access Protocol (LDAP) per interrogare Active Directory alla ricerca di risorse quali applicazioni, altri utenti e gruppi. Utilizzando strumenti come PowerView e BloodHound, le query LDAP consentono agli aggressori di avere una visione d'insieme dell'ambiente.

Di conseguenza, una parte del rafforzamento di Active Directory contro gli attacchi comporta la capacità di rilevare le query sospette. Questo compito può essere impegnativo, poiché le query LDAP sono comuni e in genere legittime. Tuttavia, le aziende dovrebbero cercare di identificare qualsiasi query LDAP proveniente da fonti insolite all'interno dell'ambiente e correlare queste informazioni con qualsiasi altra attività che possa indicare un attacco.

Anche gli attori delle minacce prediligono alcune tecniche. Vediamo alcuni dei loro trucchi preferiti e come mitigare queste minacce per un hardening più efficace di Active Directory.

Attacchi di Kerberoasting

Molte applicazioni che si integrano con Active Directory, come ad esempio SQL Server, richiedono l'uso di account di servizio. Questi account sono simili ai normali account utente, ma sono dedicati a un'applicazione e non richiedono l'accesso interattivo da parte dell'utente.

Gli account di servizio possono essere altamente privilegiati, anche se spesso non ne hanno bisogno. Gli account hanno anche spesso password, a volte molto vecchie, non complesse o comunque difficili da decifrare.

Come funziona il Kerberoasting?

I servizi si pubblicizzano per gli utenti in Active Directory tramite i nomi dei principali servizi (SPN). Gli attori delle minacce trovano gli account di servizio interrogando gli SPN, quindi utilizzano Kerberoasting per craccare la password dell'account di servizio preso di mira. Come molti attacchi furtivi, Kerberoasting funziona abusando di funzionalità legittime.

  • Dopo aver utilizzato un account utente di dominio per autenticarsi in Active Directory, l'attore delle minacce riceve un Ticket Granting Ticket (TGT) Kerberos dal Key Distribution Center (KDC).
  • L'attaccante richiede un ticket di servizio per il servizio preso di mira.
  • Il controller di dominio genera un ticket TGS (Ticket Granting Service) per quel servizio, lo cripta con la password del servizio e lo invia all'"utente", in questo caso l'attore della minaccia.
  • L'attaccante decifra l'hash della password che ha crittografato il ticket TGS.
  • Utilizzando l'hash craccato, l'attaccante può accedere al servizio mirato e sfruttare tutti i privilegi di cui dispone il servizio.

Come si può proteggere Active Directory da Kerberoasting?

Le organizzazioni possono limitare il rischio di Kerberoasting imponendo password lunghe e complesse per gli account di servizio e utilizzando la crittografia AES per i ticket di servizio Kerberos.

Ulteriori informazioni sul rafforzamento di Active Directory contro Kerberoasting.

Attacchi al Golden Ticket

Uno degli account più critici da proteggere in Active Directory è l'account KRBTGT, che esiste come account di servizio per il servizio KDC. Se un utente malintenzionato ottiene il controllo dell'account KRBTGT, può creare TGT fasulli e sfruttare tali ticket per arrecare danni ingenti all'organizzazione. Questo approccio è noto come attacco Golden Ticket.

Come funziona un attacco Golden Ticket?

Gli attacchi Golden Ticket sono molto difficili da rilevare.

  • L'attacco inizia quando un aggressore ottiene il controllo di un account con privilegi elevati e può accedere a un controller di dominio; ogni controller di dominio esegue un'istanza del KDC.
  • L'attore della minaccia utilizza uno strumento come Mimikatz per rubare l'hash NTLM dell'account KRBTGT.
  • Una volta ottenuto l'hash della password KRBTGT, l'aggressore ha bisogno solo del nome di dominio completamente qualificato (FQDN) del dominio, dell'identificatore di sicurezza del dominio e del nome utente dell'account che vuole colpire per creare un TGT.
  • L'attaccante utilizza il TGT per impersonare utenti legittimi e ottenere potenzialmente un accesso illimitato.

Come si può proteggere Active Directory da un attacco Golden Ticket?

Per contrastare un attacco Golden Ticket, le organizzazioni dovrebbero modificare la password KRBTGT due volte di seguito. Aggiornare la password ogni volta che un dipendente che aveva il potere di creare un Golden Ticket lascia l'organizzazione. (Un esperto di Semperis, Jorge de Almeida Pinto, ha sviluppato uno script PowerShell per semplificare questo processo).

Inoltre, è bene cercare le bandiere rosse, come i ticket contraffatti che a volte contengono errori come la mancata corrispondenza dell'ID relativo (RID) o le modifiche alla durata di vita del ticket. Seguite le best practice di sicurezza di Active Directory, tra cui la limitazione del numero di utenti con accesso ai controller di dominio.

Per saperne di più sul rafforzamento di Active Directory contro gli attacchi Golden Ticket.

Passare gli attacchi Hash e Passare il biglietto

Gli attacchi Pass the Hash e Pass the Ticket sono metodi popolari per ottenere un movimento laterale.

Come funzionano gli attacchi Pass the Hash e Pass the Ticket?

In un attacco di tipo Pass the Hash, l'attore della minaccia ruba innanzitutto l'hash della password NTLM di un utente. L'aggressore utilizza quindi l'hash per aggirare i controlli di autenticazione, senza dover decifrare la password vera e propria.

L'attacco Pass the Ticket è simile all'attacco Pass the Hash, ma sfrutta Kerberos anziché NTLM. In questo attacco, l'attore della minaccia utilizza un ticket Kerberos rubato per autenticarsi come utente, anche in questo caso senza bisogno di conoscere la password effettiva della vittima.

Come si può proteggere Active Directory dagli attacchi Pass the Hash e Pass the Ticket?

Per mitigare un attacco Pass the Hash, è possibile disabilitare l'uso del protocollo di autenticazione NTLM, che questo attacco sfrutta. Inoltre:

  • Osservate il comportamento insolito degli utenti, come ad esempio un numero elevato di tentativi di accesso alle risorse di rete. Questo comportamento può essere un segnale di uno dei due attacchi.
  • Ridurre al minimo il valore degli account compromessi applicando il principio del minor privilegio. Assicuratevi che solo chi ha bisogno di diritti di accesso privilegiati li abbia.

Ulteriori informazioni sul rafforzamento di Active Directory contro gli attacchi Pass the Hash e Pass the Ticket.

Concentrarsi sulla sicurezza degli account per rafforzare Active Directory

La protezione delle password è fondamentale per l'hardening di Active Directory. Aggiornate le tradizionali politiche sulle password, ormai obsolete, per riflettere le attuali raccomandazioni di Microsoft e del NIST.

  • Esaminate, rimuovete o monitorate pesantemente gli account a cui è consentito autenticarsi senza password.
  • Aggiornare gli account di servizio con password forti e complesse di almeno 25 caratteri.

Proprio come gli aggressori sfruttano le funzionalità legittime per effettuare la sorveglianza, essi sfruttano anche gli account privilegiati. Gli account con permessi eccessivi possono esistere per diversi motivi.

Spesso il problema è dovuto a pressioni aziendali. Un utente potrebbe avere urgentemente bisogno di eseguire determinate operazioni. Determinare come fornire l'accesso rispettando il principio del minimo privilegio è considerato troppo dispendioso in termini di tempo. I gruppi annidati possono anche portare a scenari di ereditarietà disordinati.

Con il tempo, queste situazioni possono andare fuori controllo. Il risultato è un ambiente Active Directory pieno di account con privilegi eccessivi.

Con l'aumento del numero di account utente e di servizio con privilegi eccessivi, cresce anche la superficie di attacco di Active Directory. Per ridurla, le organizzazioni devono assicurarsi che le autorizzazioni siano delegate correttamente.

A livello strategico, ciò richiede che il team di Active Directory comprenda veramente le esigenze aziendali degli utenti e dei gruppi nell'ambiente.

  • Quando si costruisce l'ambiente, mettere risorse simili nella stessa unità organizzativa (OU) e nelle stesse sotto-unità.
  • Delegare le autorizzazioni a gruppi piuttosto che a utenti specifici.
  • Determinare l'ambito di ciascun gruppo che si desidera creare e assegnare i privilegi in base ai ruoli.
  • Rivedere frequentemente le autorizzazioni degli utenti e dei gruppi.
  • Monitorare continuamente le modifiche non autorizzate che potrebbero portare all'escalation dei privilegi o al furto di credenziali.

Queste fasi rendono il processo di verifica delle autorizzazioni più efficace e meno noioso.

L'hardening di Active Directory include la sicurezza dei controller di dominio

I controller di dominio sono probabilmente la parte più critica dell'infrastruttura Active Directory. Un controller di dominio compromesso può far crollare la casa, permettendo agli attori delle minacce di:

  • Modificare tutti gli account dell'ambiente
  • Creare nuovi account
  • Diffusione di malware
  • Intraprendere altre azioni per disturbare l'ambiente

A causa della loro sensibilità, i controller di dominio dovrebbero essere una priorità per le patch. Ma questo passo è solo l'inizio.

  • Controllare strettamente l'accesso ai controller di dominio. Solo gli amministratori che hanno assolutamente bisogno di tale accesso dovrebbero averlo. Esaminate quali sono gli oggetti dei Criteri di gruppo (GPO) collegati all'OU del controller di dominio in Active Directory e verificate che solo il gruppo degli Amministratori di dominio abbia impostato le autorizzazioni Consenti accesso tramite Remote Desktop Services e Consenti accesso locale.
  • Disattivare la navigazione web sui controller di dominio. Qualsiasi apertura a un controller di dominio rappresenta un rischio significativo. L'impatto di una potenziale compromissione dovuta a un download drive-by o a un altro attacco è semplicemente troppo significativo per giustificare il rischio. Anche i firewall dovrebbero svolgere un ruolo importante, bloccando le connessioni in uscita dai controller di dominio verso Internet, a meno che non sia necessario.
  • Seguire le migliori pratiche di sicurezza fisica. Microsoft consiglia di installare i controller di dominio fisici in rack o gabbie sicure dedicate, separate dalla popolazione generale di server. Microsoft consiglia inoltre di configurare i controller di dominio con chip TPM (Trusted Platform Module).
  • Utilizzare la crittografia. Proteggete tutti i volumi dei server controller di dominio utilizzando BitLocker Drive Encryption.
  • Proteggere i controller di dominio virtuali. Eseguite i controller di dominio virtuali su host fisici separati dalle altre macchine virtuali. Gli amministratori di questi host possono controllare i controller di dominio virtuali, quindi mantenete gli account di amministrazione separati dagli altri amministratori della virtualizzazione.

L'hardening di Active Directory è indispensabile

L'hardening di Active Directory richiede una combinazione di vigilanza e proattività. Semperis offre strumenti per aiutare le organizzazioni a identificare e risolvere le lacune di sicurezza nei loro ambienti Active Directory.

Queste soluzioni possono aiutarvi a identificare, recuperare e rispondere ai cyberattacchi assicurando l'integrità e la disponibilità di Active Directory on-premises e di Entra ID e Okta. Iniziare non deve essere necessariamente costoso o dispendioso in termini di tempo; sono disponibili strumenti gratuiti per identificare le lacune critiche della sicurezza. Qualunque sia l'approccio scelto, iniziate a rendere l 'hardening di Active Directory una parte documentata del vostro piano di cybersecurity.