O Active Directory (AD) é a pedra angular da maioria das redes empresariais, fornecendo autenticação centralizada, autorização e controlo de acesso a uma miríade de recursos. No entanto, a complexidade da configuração do AD muitas vezes torna o serviço um alvo principal para agentes mal-intencionados que procuram explorar pontos fracos na postura de segurança de uma organização. Várias configurações incorrectas - por exemplo, a utilização incorrecta de uma funcionalidade incorporada no AD que é responsável por alguma replicação do AD - podem conduzir a essas vulnerabilidades. Ao manipular esta poderosa funcionalidade, os atacantes podem obter acesso a dados sensíveis, especificamente a hashes de palavras-passe, que são armazenados na base de dados do AD nos controladores de domínio (DCs).
O que é um ataque DCSync?
Um ataque DCSync é um método que os malfeitores podem utilizar para se fazerem passar por um DC, tirando partido do Protocolo Remoto dos Serviços de Replicação de Directórios (DRS) para solicitar dados de palavra-passe a um DC visado. Por concepção, o Protocolo Remoto DRS permite a sincronização eficiente de objectos de serviços de directório e respectivos atributos em todos os DCs de uma floresta AD. No entanto, os atacantes podem utilizar esta funcionalidade como arma para obter acesso não autorizado a credenciais de utilizador e potencialmente aumentar os seus privilégios dentro da rede.
Embora esta funcionalidade seja fundamental para a replicação adequada de um ambiente AD, apenas um número limitado de entidades de segurança deve ter os direitos necessários para executar estas acções. Infelizmente, as configurações incorrectas ou a falta de conhecimento podem levar à atribuição destes direitos a responsáveis de segurança não predefinidos, criando um potencial risco de segurança.
Como é que os direitos de replicação do AD incorrectos podem afectar a segurança?
Por predefinição, são concedidos direitos específicos através dos direitos alargados Replicar Alterações de Directório e Replicar Alterações de Directório Todas no AD. Estes direitos permitem a uma entidade de segurança replicar objectos de directório e respectivos atributos, incluindo dados de palavras-passe sensíveis, de um DC para outro. Embora estes direitos sejam necessários para fins de replicação legítima, os agentes maliciosos podem explorar os direitos para efectuar ataques DCSync, exfiltrando hashes de palavras-passe e outras informações sensíveis do DC.
O impacto de um ataque deste tipo pode ser grave. Os ataques DCSync podem permitir que os atacantes se façam passar por utilizadores legítimos, aumentem os privilégios e se desloquem lateralmente na rede. No pior dos casos, o atacante pode obter privilégios de administrador de domínio e assumir o controlo total da infra-estrutura AD.
Que ferramentas podem os atacantes utilizar para montar um ataque DCSync?
Estão actualmente disponíveis várias ferramentas para montar um ataque DCSync:
- O Mimikatz é uma poderosa ferramenta de pós-exploração que pode extrair palavras-passe em texto simples, hashes e bilhetes Kerberos da memória. Esta ferramenta inclui um módulo DCSync que os agentes de ameaças podem utilizar para efectuar ataques DCSync e extrair hashes de palavras-passe de DCs.
- Impacket é uma colecção de classes Python para trabalhar com protocolos de rede. Esta ferramenta inclui um script chamado secretsdump.py que permite ataques DCSync.
- O PowerShell Empire é uma estrutura pós-exploração que fornece uma variedade de módulos para operações de segurança ofensivas. Um dos módulos, Invoke-DCSync, permite ataques DCSync.
Identificar os princípios de segurança predefinidos com direitos de replicação incorrectos
Por predefinição, estes direitos são atribuídos a um número limitado de mandantes de segurança, incluindo normalmente:
- Administradores de domínios
- Administradores de empresas
- Administradores
- Controladores de domínio
- Controladores de domínio só de leitura
Estas entidades de segurança são normalmente de confiança e têm os privilégios necessários para executar tarefas de replicação de directórios no domínio. O risco surge quando são concedidos inadvertidamente direitos de replicação a entidades de segurança não predefinidas, proporcionando uma oportunidade para os atacantes explorarem a funcionalidade.
Procure contas às quais tenham sido delegados os seguintes direitos:
- Replicação das alterações de directório (DS-Replication-Get-Changes)
- Replicar todas as alterações de directório (DS-Replication-Get-Changes-All)
- Replicação de alterações de directório em conjunto filtrado (DS-Replication-Get-Changes)
Determinar se o DCSync está a ser utilizado para alojar outros DCs e determinar se quaisquer contas que não sejam membros de Admins. de Domínios ou Controladores de Domínios têm estes direitos.
Técnicas para descobrir os principais de segurança não predefinidos com direitos de replicação
Para identificar e gerir de forma proactiva o risco associado a um ataque DCSync, é essencial monitorizar e auditar o seu ambiente AD para identificar entidades de segurança não predefinidas que possuam estes direitos. Pode utilizar vários métodos:
- Utilize ferramentas integradas do AD, como o ACL Diagnostics ou o Ldp, para consultar as listas de controlo de acesso (ACLs) no objecto de domínio.
- Aproveite os scripts do PowerShell para enumerar as entidades de segurança com direitos de DCSync.
- Implementar soluções de auditoria especializadas na detecção de configurações incorrectas do AD e de riscos de segurança, tais como Purple Knight.
Melhores práticas para mitigar os riscos associados ao ataque do DCSync
Para minimizar os riscos associados ao ataque do DCSync, considere a implementação destas práticas recomendadas:
- Limite o número de responsáveis de segurança com direitos de replicação apenas àqueles que necessitam absolutamente desses direitos.
- Reveja e audite regularmente o seu ambiente AD para identificar os principais de segurança não predefinidos com estes direitos e remover quaisquer permissões desnecessárias.
- Aplicar o princípio do menor privilégio, assegurando que os utilizadores e grupos têm apenas o nível mínimo de acesso necessário para desempenhar as suas tarefas.
- Utilize palavras-passe fortes e únicas para todas as contas privilegiadas para reduzir o risco de comprometimento das credenciais.
- Monitorize e registe continuamente eventos de segurança no seu ambiente AD para detectar e responder a potenciais ameaças de forma atempada.
Formação e sensibilização do pessoal de TI e das equipas de segurança
É essencial educar o pessoal de TI e as equipas de segurança sobre os potenciais riscos associados a estes direitos. Ao aumentar a sensibilização para este potencial ataque, está a aumentar a postura de segurança do seu ambiente AD. Realize sessões de formação e workshops regulares para garantir que as suas equipas estão actualizadas com as mais recentes práticas recomendadas de segurança, informações sobre ameaças e estratégias de defesa eficazes.
Manter-se a par das últimas informações sobre ameaças
O cenário de ameaças está em constante evolução. Manter-se informado sobre as mais recentes ameaças e técnicas de ataque é crucial para manter um ambiente AD seguro. Subscreva as notícias do sector, os blogues de segurança e os feeds de informações sobre ameaças para se manter a par das ameaças emergentes, das vulnerabilidades e das melhores práticas. Partilhe estas informações com o seu pessoal de TI e equipas de segurança para garantir que se mantêm vigilantes e preparados para combater potenciais ataques do DCSync.
Em resumo, a defesa do seu ambiente AD contra ataques de DCSync (bem como contra outras ameaças) requer uma estratégia abrangente. Isto implica a realização de auditorias regulares, a adesão às melhores práticas, o investimento em iniciativas de educação e sensibilização e a actualização das informações mais recentes sobre ameaças. Ao abordar proactivamente as preocupações de segurança, pode mitigar eficazmente os riscos associados aos direitos do DCSync, assegurando a protecção dos valiosos recursos da sua organização.