No final do ano passado, a National Security Agency (NSA) e a Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos divulgaram uma lista das vulnerabilidades mais comuns nas grandes redes informáticas. Esta lista das dez principais configurações incorrectas de cibersegurança da CISA e da NSA revela fraquezas sistémicas, particularmente em ambientes Microsoft Windows e Microsoft Active Directory (embora não se limitem a estes).
Examine seu ambiente híbrido do Active Directory: Descarregar Purple Knight
Quer o seu ambiente dependa apenas do Active Directory ou em combinação com outros sistemas de identidade, como o Entra ID ou o Okta, a resolução destas vulnerabilidades deve ser uma prioridade máxima.
Qual é a lista dos dez principais erros de configuração da cibersegurança da CISA e da NSA?
Com base nas avaliações das equipas Red e Blue conduzidas pelas equipas Defensive Network Operations (DNO) da NSA e Vulnerability Management (VM) e Hunt and Incident Response da CISA, a lista dos dez principais erros de configuração da cibersegurança da CISA e da NSA abrange os sectores público e privado. O aviso também discute as tácticas, técnicas e procedimentos (TTPs) que os agentes maliciosos utilizam para explorar as vulnerabilidades detalhadas. Os proprietários e operadores de redes, independentemente dos seus ambientes de software específicos, são aconselhados a examinar rigorosamente os seus sistemas para detetar estas configurações incorrectas.
Porque é que se deve concentrar no Active Directory?
Nem todas as questões da lista CISA/NSA envolvem diretamente o Active Directory - mas muitas envolvem. O mais recente Relatório de Defesa Digital da Microsoft (MDDR, 2023) confirma a urgência de abordar a segurança do Active Directory.
O MDDR observou que quase metade dos clientes envolvidos no compromisso de resposta a incidentes da Microsoft têm configurações inseguras do Active Directory. Além disso, o relatório afirma:
As lacunas mais prevalecentes que encontrámos durante os compromissos de resposta reactiva a incidentes foram:
- Falta de proteção adequada para as contas administrativas locais.
- Uma barreira de segurança quebrada entre a administração no local e na nuvem.
- Falta de adesão ao modelo do menor privilégio.
- Protocolos de autenticação herdados.
- Configurações inseguras do Active Directory.
Estas lacunas permitem tácticas de ataque que vão do Acesso Inicial ao Movimento Lateral e à Persistência.
Relatório de Defesa Digital da Microsoft 2023
O Active Directory é o sistema de identidade central para a maioria das organizações actuais, tanto públicas como privadas. Este serviço de diretório é fundamental para a gestão da identidade e do acesso. A idade do serviço - desenvolvido há décadas - e sua função crítica no gerenciamento de acesso em todo o ambiente fazem dele um alvo importante para ataques cibernéticos. Os ambientes híbridos do Active Directory (aqueles que usam o Active Directory mais o Entra ID ou outro sistema de identidade) aumentam a superfície de ataque e podem complicar os esforços de segurança.
Como pode resolver as configurações incorrectas do Active Directory?
Na Semperis, a nossa equipa de investigação mantém uma biblioteca de indicadores de segurança para o ajudar a avaliar a sua postura de segurança, fechar caminhos de ataque e detetar comportamentos nefastos. Os indicadores de exposição (IOEs) assinalam vulnerabilidades que os ciberataques podem explorar (e frequentemente exploram). Os indicadores de compromisso (IOCs) alertam-no para padrões associados a comportamentos suspeitos - frequentemente o sinal de uma violação, contas backdoor e outras ameaças activas.
As nossas ferramentas de auditoria do Active Directory, Directory Services Protector e a ferramenta comunitária gratuita Purple Knight , utilizam estes indicadores quando analisam a sua infraestrutura do Active Directory. Os resultados fornecem uma imagem abrangente da sua postura de segurança do Active Directory, com orientação prioritária sobre a mitigação dos problemas identificados ou, no caso de Directory Services Protector, opções de correção automatizadas.
A Semperis analisou as dez principais configurações incorretas de segurança cibernética do CISA e da NSA de uma perspetiva do Active Directory. Esta postagem - a primeira de uma série de três partes - fornecerá:
- Uma rápida explicação de cada vulnerabilidade relacionada com um ambiente de identidade híbrido do Active Directory
- Riscos associados à segurança da identidade
- Indicadores a ter em conta em Purple Knight ou Directory Services Protector
Abordarei os três primeiros itens neste post e, em seguida, tratarei das demais configurações incorretas nas próximas duas partes da série.
1. Configurações por defeito no software e nas aplicações
As configurações prontas para uso podem ser uma preocupação de segurança significativa. Isto deve-se principalmente ao facto de serem bem conhecidas e muitas vezes insuficientemente seguras para ambientes de produção.
As predefinições são normalmente concebidas para facilitar a implementação e a experiência do utilizador e não para a segurança. Podem incluir:
- Palavras-passe simples
- Portas abertas desnecessárias
- Contas de convidados activadas
- Permissões excessivas
Estas deficiências são particularmente perigosas quando se trata de infra-estruturas de rede e aplicações de missão crítica, como o Active Directory e o Entra ID.
Riscos para a segurança da identidade
O Active Directory é o repositório de todos os recursos da rede, incluindo contas de utilizador, políticas de grupo e controlos de acesso. Se for comprometido, pode fornecer a um atacante as "chaves do reino". O Entra ID, que estende essas funcionalidades aos recursos da nuvem, também pode ser um alvo lucrativo. Se qualquer um dos serviços de diretório for comprometido, os efeitos podem ser catastróficos, levando a violações de dados e acesso não autorizado a recursos confidenciais.
A utilização de configurações padrão pode levar a vários riscos de segurança, incluindo:
- Acesso não autorizado
- Aumento de privilégios
- Movimento lateral dentro da rede
- Exfiltração de dados
No contexto do Active Directory, um atacante pode explorar as definições predefinidas para ganhar uma posição inicial através do comprometimento de credenciais predefinidas fracas.
Indicadores de exposição e indicadores de comprometimento
Em Purple Knight e Directory Services Protector, os seguintes indicadores podem alertá-lo para a existência ou exploração de configurações padrão:
- O serviço de spooler de impressão está ativado num DC. Foram encontradas várias falhas críticas nos serviços de spooler de impressão do Windows. Estas falhas afectam diretamente os spoolers de impressão que estão instalados nos controladores de domínio, permitindo a execução remota de código.
- Os utilizadores sem privilégios podem adicionar contas de computador ao domínio. Os ataques baseados no Kerberos podem abusar desta capacidade.
- Acesso anónimo ao Active Directory ativado. O acesso anónimo pode permitir que utilizadores não autenticados consultem o Active Directory.
- Replicação NTFRS SYSVOL. O NTFRS é um protocolo mais antigo que foi substituído pelo DFSR. Os atacantes podem manipular as vulnerabilidades do NTFRS para comprometer o SYSVOL e potencialmente alterar GPOs e scripts de logon para propagar malware e mover-se lateralmente pelo ambiente.
- Configuração de DNS não segura. Os atacantes podem aproveitar este tipo de configuração para adicionar um novo registo DSN ou substituir um registo DNS existente para falsificar uma interface de gestão. Podem então esperar por ligações de entrada e roubar credenciais.
- Os utilizadores não-administradores podem criar inquilinos no Entra ID. Os locatários mal configurados que estão ligados a utilizadores do locatário principal (organização) são mais fáceis de comprometer. Esses locatários não são monitorizados ou protegidos adequadamente.
2. Separação inadequada dos privilégios de utilizador/administrador
A separação inadequada de privilégios é um problema generalizado em muitos ambientes de TI. Esta prática leva frequentemente à concessão de direitos administrativos a utilizadores que não necessitam deles para as tarefas diárias - uma violação do princípio do menor privilégio.
Normalmente, os utilizadores recebem privilégios administrativos ao serem colocados em grupos privilegiados (como Admins do Domínio no Active Directory) ou ao ser-lhes concedido acesso de administrador local nas suas estações de trabalho. Os culpados variam:
- Modelos de acesso herdados
- Conveniência
- Controlos de acesso deficientes
- Supervisão
O problema é exacerbado pela concessão de privilégios persistentes em vez de conceder privilégios condicionalmente, conforme necessário.
Riscos para a segurança da identidade
Esta configuração incorrecta torna toda a rede vulnerável. Os utilizadores com privilégios administrativos podem fazer grandes alterações ao Active Directory, afectando as políticas de grupo, as definições de segurança e outros componentes críticos da infraestrutura.
A Entra ID enfrenta riscos semelhantes. Além disso, as aplicações SaaS integradas e os recursos baseados na nuvem podem ser comprometidos.
Indicadores de exposição e indicadores de comprometimento
Em Purple Knight e Directory Services Protector, os seguintes indicadores podem alertá-lo para uma separação incorrecta de privilégios:
- Conta de Administrador de domínio incorporada utilizada nas últimas duas semanas. Preste muita atenção a este indicador, pois pode sinalizar um utilizador comprometido.
- Alterações na associação de grupos privilegiados nos últimos 7 dias. Este indicador pode sinalizar uma tentativa de aumentar o privilégio.
- Contas de computador em grupos privilegiados. Se uma conta de computador for um membro do grupo privilegiado do domínio, qualquer pessoa que comprometa a conta de computador pode atuar como membro desse grupo.
- Contas de administrador activadas que estão inactivas. Os atacantes que comprometem estas contas podem então operar sem serem detectados.
- Administradores efémeros. Estas contas de curta duração podem indicar atividade maliciosa.
3. Monitorização insuficiente da rede interna
Esta configuração incorrecta é um descuido crítico. Pode deixar a sua organização vulnerável a intrusões não detectadas, ameaças internas e actividades maliciosas.
Uma monitorização insuficiente da rede interna pode ter origem em vários problemas:
- A falta de ferramentas adequadas
- Cobertura insuficiente do tráfego de rede
- Mecanismos de alerta inadequados
- Ausência de uma equipa dedicada à análise dos dados de monitorização
Muitas organizações concentram-se na defesa do perímetro. Mas o tráfego interno é frequentemente negligenciado, partindo do princípio de que a rede interna é segura. Esse descuido é problemático. Quando um atacante viola o perímetro, pode mover-se lateralmente com pouca resistência ou deteção.
Especificamente, ativos internos críticos, como o Active Directory, que atua como a espinha dorsal da autenticação e autorização em ambientes baseados no Windows, são alvos de alto valor. A falta de um monitoramento robusto do Active Directory pode deixar sua organização cega para anomalias internas que sinalizam uma violação ou atividades não autorizadas.
Riscos para a segurança da identidade
Num contexto do Active Directory, esta configuração incorrecta pode levar à perda de indicadores de compromisso, incluindo:
- Tentativas invulgares de início de sessão
- Alterações às políticas do grupo
- A criação de contas privilegiadas
No Entra ID, uma monitorização insuficiente pode levar à não captura:
- Actividades de registo anormais
- Acesso não autorizado aos recursos da nuvem
- Padrões de utilização irregulares
Estes riscos podem conduzir a violações de dados, à interrupção de serviços e a danos significativos a nível operacional e de reputação.
Indicadores de exposição e indicadores de comprometimento
A Semperis concentra-se em avaliar e melhorar a postura de segurança do Active Directory local e do Entra ID, em vez de monitorar o tráfego de rede. Nosso principal objetivo é fornecer insights sobre a dinâmica dentro de um ambiente híbrido do Active Directory, identificando:
- Que modificações estão a ser feitas
- Quem está a iniciar as mudanças
- A natureza das actividades dos utilizadores
Purple Knight realiza uma avaliação pontual do ambiente híbrido do Active Directory. Em seguida, a ferramenta fornece uma lista priorizada de indicadores de segurança e orientações de correção acionáveis.
Directory Services Protector conduz uma vigilância contínua dos componentes críticos de identidade, como os Objectos de Política de Grupo (GPO) e as permissões de acesso. Ao monitorizar continuamente a sua posição de segurança do Active Directory, pode verificar se a sua postura de segurança está a melhorar ou a degradar-se. Também pode configurar a reversão automática de alterações suspeitas, bem como accionadores e alertas personalizados.
Não adie - audite o Active Directory hoje mesmo
É tudo para este post. O próximo post desta série aborda as implicações do Active Directory dos próximos quatro itens da lista dos dez principais erros de configuração da segurança cibernética da CISA e da NSA. Entretanto, porque não descarregar Purple Knight- é gratuito - e verificar se a sua organização está em risco devido aos indicadores discutidos esta semana.