Orin Thomas

A exploração de configurações incorrectas do Active Directory é um caminho popular para os atacantes. De acordo com a Microsoft, 95 milhões de contas AD são visadastodos os dias. Os atacantes utilizam as vulnerabilidades de segurança do Active Directory para obter acesso privilegiado e movimentar-se através dos sistemas comprometidos, recolhendo bens valiosos, instalando malware ou implantando ransomware, entre outras tácticas.

Proteja a sua organização abordando estas configurações incorrectas comuns do AD o mais rapidamente possível.

1. Responsáveis não predefinidos com direitos de DCSync

A função DCSync faz-se passar por um controlador de domínio (DC) e solicita dados de palavra-passe de um DC alvo utilizando o Protocolo Remoto dos Serviços de Replicação de Directórios.

Detectar o problema

  • Procure contas às quais tenham sido delegados os seguintes direitos:
    • Replicação das alterações de directório (DS-Replication-Get-Changes)
    • Replicar todas as alterações de directório (DS-Replication-Get-Changes-All)
    • Replicação de alterações de directório em conjunto filtrado (DS-Replication-Get-Changes)
  • Determinar se o DCSync está a ser utilizado para alojar outros controladores de domínio.
  • Determine se alguma conta que não seja membro de Admins. de Domínios ou Controladores de Domínios tem estes direitos.

Remediação

Para uma discussão aprofundada sobre este problema e como o resolver, consulte esta publicação AD Security 101.

2. Alterações de permissão no objecto AdminSDHolder

O AdminSDHolder fornece permissões de modelo para contas e grupos protegidos. Ao contrário da maioria dos objectos no domínio do Active Directory, o AdminSDHolder é propriedade do grupo Admins do Domínio. Por predefinição, os grupos Administradores da Empresa, Administradores do Domínio e Administradores podem efectuar alterações ao objecto AdminSDHolder de qualquer domínio. Além disso, os membros dos grupos Administradores ou Administradores da Empresa podem assumir a propriedade do objecto. As permissões de modelo de AdminSDHolder também são persistentes, o que significa que são reaplicadas a cada 60 minutos.

Detecção

Para encontrar configurações incorrectas do Active Directory deste tipo, procure contas de utilizador invulgares às quais foram atribuídas permissões nas listas de controlo de acesso AdminSDHolder. Normalmente, descobrirá isto ao remover um titular de permissão desconhecido, como "harry_the_frog", apenas para ver esse mesmo titular aparecer 60 minutos mais tarde. Isso deve ser um gatilho para lembrá-lo da persistência do AdminSDHolder.

Remediação

  • Utilize o ADSIEdit para ligar ao contexto de nomeação predefinido e localizar o contentor AdminSDHolder.
  • Seleccione Propriedades.
  • Em Segurança avançada, clique em Restaurar predefinições.
  • Forçar a replicação utilizando repadmin/syncall.

3. Palavras-passe reversíveis em Objectos de Política de Grupo

A definição de política Armazenar palavra-passe utilizando encriptação reversível fornece suporte para aplicações que utilizam protocolos que requerem a palavra-passe do utilizador para autenticação. Isto é um problema porque a encriptação reversível é, bem, reversível. Isto significa que um atacante que quebre esta encriptação pode comprometer a conta.

Detecção

Reveja as suas políticas de grupo e determine se a opção Armazenar código de acesso utilizando encriptação reversível está activada ou não.

Remediação

A correcção é bastante simples: Basta desactivar a acção. No entanto, antes de o fazer, tem de descobrir o que é que a acção vai quebrar. É provável que a remediação tenha sido activada porque algumas aplicações assim o exigem. A compatibilidade de aplicações é uma dívida tecnológica não paga que afecta toda a gente. A menos que a aplicação possa ser reescrita, poderá ser forçado a mitigar os problemas de segurança que a aplicação possa causar.

4. Acesso anónimo ao Active Directory

O acesso anónimo significa que os utilizadores não autenticados podem ler e aceder aos dados. Este acesso está desactivado por predefinição, mas pode ser necessário em determinados casos legítimos. Com este acesso, um utilizador não autorizado pode listar anonimamente nomes de contas e utilizar as informações para tentar adivinhar palavras-passe ou efectuar ataques de engenharia social.

Detecção

  • Utilizando o ADSIEdit, verifique a seguinte lista para dSHeuristics definida como 0000002:
    • CN=Serviço de directório
    • CN=Windows NT
    • CN=Serviços
    • CN=Configuração
    • DC=<my domain>
  • Determine se o acesso anónimo está activado (atribuído a "NT Authority/Anonymous" no domínio ou contentor utilizando o Active Directory Users and Computers (ADUC)).

Remediação

  • Alterar o valor do atributo de 0000002 para 1 ou 0.
  • Remover o acesso anónimo ao domínio ou ao contentor.

5. Vulnerabilidades do Zerologon

A vulnerabilidade Zerologon é uma exploração no protocolo de netlogon do Active Directory (MS-NRPC) que permite o acesso a servidores que utilizam NTLM. Este ataque torna possível a um atacante fazer-se passar por qualquer computador do sistema, incluindo o DC raiz. A vulnerabilidade também permite a desativação de funcionalidades de segurança no processo de autenticação netlogon. Utilizada por um atacante competente, pode também gerar um Golden Ticket, que permite a um atacante obter o controlo da conta KRBTGT.

Detecção

A detecção pode ser difícil porque os tokens Kerberos parecem legítimos. Os bilhetes TGT são válidos e assinados por KRBTGT.

Remediação

A autenticação NTLM é funcional no produto de envio e está activada por predefinição. A desactivação da autenticação NTLM pode danificar as aplicações. Determine quais as aplicações que utilizam este protocolo antigo e corrija-as. Em seguida, desactive o NTLM e comece a utilizar o Kerberos no seu domínio do Active Directory.

6. Palavras-passe de contas de serviço que não expiram

As contas de serviço são configuradas com palavras-passe que nunca expiram. As contas de serviço com palavras-passe padrão e imutáveis são mais facilmente comprometidas. Actualmente, estão disponíveis melhores opções de gestão de palavras-passe para permitir o acesso sem introduzir este nível de risco.

Detecção

Procure contas com palavras-passe que não expiram, para as poder identificar e resolver.

Remediação

Implemente a prática de mudar as suas contas de serviços para contas de serviços geridas por grupos. Não precisa de saber a palavra-passe; o sistema irá geri-la por si, e a sua segurança será melhor com a mudança.

7. Acesso de administrador não pertencente ao domínio a controladores de domínio

Os utilizadores que não são administradores de domínio podem iniciar sessão remotamente num DC através de RDP ou PowerShell. Os atacantes podem iniciar sessão remotamente num DC utilizando o PowerShell ou serviços de ambiente de trabalho remoto.

Detecção

Verifique a atribuição de direitos de utilizador nas definições de configuração.

Remediação

A Microsoft recomenda os seguintes passos para resolver as configurações incorrectas do Active Directory deste tipo:

  • Aceda à secção GPO Configuração do computador > Definições do Windows > Definições de segurança > Políticas locais > Atribuição de direitos de utilizador.
  • Localize a política Permitir início de sessão através dos serviços de ambiente de trabalho remoto.
  • Depois de o servidor ser promovido a controlador de domínio, apenas o grupo Administradores (Admins. do Domínio) deve permanecer nesta política local.

Proteja-se das configurações incorrectas do Active Directory

Uma nota final: se houver um motivo para modificar uma configuração padrão, documente essas alterações. Isso ajudá-lo-á se precisar de reverter para as predefinições e restabelecer as permissões válidas. Documentar as modificações também pode ajudar outras pessoas (incluindo o próximo administrador) a entender por que as modificações foram feitas e avaliar se elas ainda são necessárias.

A maioria de nós herda implementações do Active Directory que já existem há algum tempo. Passar algum tempo a corrigir estas configurações incorrectas comuns do Active Directory - e implementar um processo de documentação sólido - pode contribuir muito para proteger o seu Active Directory de ataques. O mesmo acontece com a execução de uma avaliação para encontrar vulnerabilidades comumente exploradas. Descarregar e executar a nossa ferramenta gratuita de avaliação de segurança Purple Knight AD pode dar-lhe uma visão mais clara destas e de outras questões a colocar na sua lista de tarefas.