De acordo com o mais recente Relatório de Defesa Digital da Microsoft, quase metade de todos os compromissos de resposta a incidentes da Microsoft encontraram configurações inseguras do Active Directory . Isso corrobora um relatório semelhante da Mandiant de que 9 em cada 10 ataques cibernéticos exploram um servidor Active Directory. Estas estatísticas preocupantes são um lembrete de que as organizações que desejam construir um ambiente de TI mais resiliente simplesmente devem priorizar a proteção do Active Directory.
Na Semperis , nos orgulhamos de nosso conhecimento em segurança de AD, incluindo práticas recomendadas para fortalecer seus servidores Active Directory. Continue lendo para saber mais sobre a proteção do AD ou solicite uma demonstração hoje mesmo para ver como nosso suporte ao Active Directory melhora a segurança cibernética geral da sua organização.
Poucas situações são tão perturbadoras como um ataque ao Active Directory. Cada utilizador e dispositivo depende do serviço de identidade. Os atacantes que comprometem o Active Directory podem potencialmente:
- Aumentar as suas permissões
- Criar e eliminar contas
- Aceder a dados críticos
- Persistir sem ser detectado no ambiente da vítima
Um objetivo da segurança cibernética é manter a continuidade das operações comerciais. Criar uma defesa forte que permita a resiliência cibernética significa proteger o Active Directory contra as ameaças, os pontos fracos e os caminhos de ataque comuns que os agentes de ameaças usam, bem como planejar uma recuperação rápida e segura do Active Directory.
Leitura relacionada: O que é a segurança do Active Directory?
Pensar como um ciber-atacante
Os ataques contra o Active Directory começam normalmente com o reconhecimento, seguido de um plano para aumentar os privilégios e mover-se lateralmente. Tirando partido da abertura do Active Directory, os cibercriminosos utilizam o reconhecimento para descobrir tudo, desde contas de serviço até à composição de vários grupos.
Por predefinição, qualquer utilizador autenticado pode utilizar facilmente o protocolo LDAP (Lightweight Directory Access Protocol) para consultar o Active Directory relativamente a recursos como aplicações, outros utilizadores e grupos. Utilizando ferramentas como o PowerView e o BloodHound, as consultas LDAP permitem aos atacantes obter uma visão geral do seu ambiente.
Como resultado, parte do reforço do Active Directory contra ataques envolve a capacidade de detetar consultas suspeitas. Esta tarefa pode ser um desafio, uma vez que as consultas LDAP são comuns e normalmente legítimas. Ainda assim, as empresas devem procurar identificar quaisquer consultas LDAP de fontes invulgares no ambiente e correlacionar essas informações com qualquer outra atividade que possa indicar um ataque.
Os agentes de ameaças também favorecem determinadas técnicas. Vejamos alguns dos seus truques preferidos e como pode atenuar estas ameaças para um reforço mais eficaz do Active Directory.
Ataques de Kerberoasting
Muitas aplicações que se integram no Active Directory - o SQL Server, por exemplo - requerem a utilização de contas de serviço. Estas contas são como as contas de utilizador normais, mas são dedicadas a uma aplicação e não requerem inícios de sessão de utilizadores interactivos.
As contas de serviço podem ser altamente privilegiadas, embora muitas vezes não precisem de o ser. As contas também têm frequentemente palavras-passe - por vezes, palavras-passe muito, muito antigas - que não são complexas ou difíceis de decifrar.
Como funciona o Kerberoasting?
Os serviços anunciam-se aos utilizadores no Active Directory através de nomes principais de serviço (SPNs). Os agentes de ameaças encontram as contas de serviço consultando os SPNs e, em seguida, utilizam o Kerberoasting para descobrir a palavra-passe da conta de serviço visada. Tal como muitos ataques furtivos, o Kerberoasting funciona através do abuso de funcionalidades legítimas.
- Depois de utilizar uma conta de utilizador de domínio para autenticar no Active Directory, o agente da ameaça recebe um TGT (Ticket Granting Ticket) Kerberos do KDC (Key Distribution Center).
- O atacante solicita um bilhete de serviço para o serviço visado.
- O controlador de domínio gera um bilhete do Serviço de Concessão de Bilhetes (TGS) para esse serviço, encripta o bilhete com a palavra-passe do serviço e, em seguida, envia o bilhete para o "utilizador" - neste caso, o agente da ameaça.
- O atacante decifra o hash da palavra-passe que encriptou o bilhete TGS.
- Utilizando o hash decifrado, o atacante pode iniciar sessão no serviço visado e tirar partido de quaisquer privilégios que esse serviço tenha.
Como é que se pode proteger o Active Directory contra o Kerberoasting?
As organizações podem limitar o risco de Kerberoasting impondo palavras-passe longas e complexas para contas de serviço e utilizando encriptação AES para bilhetes de serviço Kerberos.
Saiba mais sobre a proteção do Active Directory contra o Kerberoasting.
Ataques ao Bilhete Dourado
Uma das contas mais críticas a proteger no Active Directory é a conta KRBTGT, que existe como uma conta de serviço para o serviço KDC. Se um atacante obtiver o controlo da conta KRBTGT, pode criar TGTs falsos e aproveitar esses bilhetes para causar grandes danos à organização. Esta abordagem é conhecida como um ataque Golden Ticket.
Como funciona o ataque do Bilhete Dourado?
Os ataques Golden Ticket são muito difíceis de detetar.
- O ataque começa quando um atacante obtém o controlo de uma conta que tem privilégios elevados e pode aceder a um controlador de domínio; cada controlador de domínio executa uma instância do KDC.
- O agente da ameaça utiliza uma ferramenta como o Mimikatz para roubar o hash NTLM da conta KRBTGT.
- Assim que o atacante tiver o hash da palavra-passe KRBTGT, só precisa do nome de domínio totalmente qualificado (FQDN) do domínio, do identificador de segurança do domínio e do nome de utilizador da conta que pretende atingir para criar um TGT.
- O atacante utiliza o TGT para se fazer passar por utilizadores legítimos e, potencialmente, obter acesso ilimitado.
Como pode proteger o Active Directory contra um ataque do Bilhete Dourado?
Para combater um ataque de Golden Ticket, as organizações devem alterar a palavra-passe KRBTGT duas vezes seguidas. Atualize a senha sempre que um funcionário que tinha o poder de criar um Golden Ticket deixar a organização. (Um especialista da Semperis, Jorge de Almeida Pinto, desenvolveu um script do PowerShell para agilizar esse processo).
Além disso, procure sinais de alerta, como bilhetes forjados, que por vezes contêm erros, como incompatibilidades de ID relativa (RID) ou alterações ao tempo de vida do bilhete. E siga as práticas recomendadas de segurança do Active Directory, incluindo a limitação do número de utilizadores com acesso a controladores de domínio.
Saiba mais sobre como fortalecer o Active Directory contra ataques do Golden Ticket.
Ataques "Pass the Hash" e "Pass the Ticket
Os ataques "Pass the Hash" e "Pass the Ticket" são métodos populares para conseguir um movimento lateral.
Como é que os ataques Pass the Hash e Pass the Ticket funcionam?
Num ataque Pass the Hash, um agente de ameaça rouba primeiro o hash da palavra-passe NTLM de um utilizador. Em seguida, o atacante utiliza esse hash para contornar os controlos de autenticação, sem ter de decifrar a palavra-passe real.
O ataque Pass the Ticket é semelhante ao ataque Pass the Hash, mas abusa do Kerberos em vez do NTLM. Neste ataque, o agente da ameaça utiliza um bilhete Kerberos roubado para se autenticar como utilizador, mais uma vez sem precisar de saber a palavra-passe real da vítima.
Como pode proteger o Active Directory contra ataques Pass the Hash e Pass the Ticket?
Para mitigar um ataque Pass the Hash, pode desativar a utilização do protocolo de autenticação NTLM, que é explorado por este ataque. Além disso:
- Observe o comportamento invulgar do utilizador, como um elevado número de tentativas de acesso a recursos de rede. Esse comportamento pode ser um sinal de qualquer um dos ataques.
- Minimizar o valor das contas comprometidas, aplicando o princípio do menor privilégio. Assegurar que apenas as pessoas que necessitam de direitos de acesso privilegiados os têm.
Saiba mais sobre como fortalecer o Active Directory contra ataques do tipo Pass the Hash e Pass the Ticket.
Concentre-se na segurança da conta para fortalecer o Active Directory
A proteção das palavras-passe é fundamental para o reforço do Active Directory. Atualize as políticas de senha tradicionais e desgastadas pelo tempo para refletir as recomendações atuais da Microsoft e do NIST.
- Examinar, remover ou monitorizar rigorosamente quaisquer contas que possam ser autenticadas sem palavras-passe.
- Actualize as contas de serviço com palavras-passe complexas e fortes, com pelo menos 25 caracteres.
Tal como os atacantes tiram partido de funcionalidades legítimas para efetuar vigilância, também tiram partido de contas privilegiadas. As contas com permissões excessivas podem existir por várias razões.
Muitas vezes, o problema é o resultado de pressões comerciais. Um utilizador pode necessitar urgentemente de executar determinadas tarefas. Determinar como fornecer acesso, respeitando o princípio do menor privilégio, é considerado demasiado moroso. Os grupos aninhados também podem levar a cenários de herança confusos.
Com o tempo, estas situações podem ficar fora de controlo. O resultado é um ambiente do Active Directory repleto de contas com privilégios excessivos.
À medida que o número de contas de utilizador e de serviço com privilégios excessivos aumenta, também aumenta a superfície de ataque do Active Directory. Para reduzi-la, as organizações precisam de garantir que as permissões são delegadas corretamente.
A um nível estratégico, isso exige que a equipa do Active Directory compreenda verdadeiramente as necessidades comerciais dos utilizadores e grupos no ambiente.
- Ao criar o seu ambiente, coloque recursos semelhantes na mesma unidade organizacional (OU) e sub-OUs.
- Delegar permissões a grupos e não a utilizadores específicos.
- Determine o âmbito de cada grupo que pretende criar e atribua privilégios com base nas funções.
- Rever frequentemente as permissões de utilizadores e grupos.
- Monitorizar continuamente e reverter alterações não autorizadas que possam levar ao aumento de privilégios ou ao roubo de credenciais.
Estes passos tornam o processo de auditoria de permissões mais eficaz e menos aborrecido.
O reforço do Active Directory inclui a segurança do controlador de domínio
Os controladores de domínio são, sem dúvida, a parte mais crítica da sua infraestrutura do Active Directory. Um controlador de domínio comprometido pode deitar a casa abaixo, permitindo que os agentes de ameaças..:
- Modificar todas as contas no seu ambiente
- Criar novas contas
- Disseminar malware
- Tomar outras medidas para perturbar o seu ambiente
Devido à sua sensibilidade, os controladores de domínio devem ser uma prioridade para a aplicação de patches. Mas esse passo é apenas o começo.
- Controlar rigorosamente o acesso aos controladores de domínio. Somente os administradores que precisam absolutamente desse acesso devem tê-lo. Examine que Objectos de Política de Grupo (GPOs) estão ligados à UO do controlador de domínio no Active Directory e confirme que apenas o grupo Admins. do Domínio tem as permissões Permitir início de sessão através dos Serviços de Ambiente de Trabalho Remoto e Permitir início de sessão localmente definidas.
- Desativar a navegação na Web nos controladores de domínio. Qualquer abertura a um controlador de domínio representa um risco significativo. O impacto de um potencial compromisso devido a um download drive-by ou outro ataque é simplesmente demasiado significativo para justificar o risco. As firewalls também devem desempenhar um papel importante, bloqueando as ligações de saída dos controladores de domínio para a Internet, a menos que seja necessário.
- Siga as melhores práticas de segurança física. A Microsoft recomenda a instalação de controladores de domínio físicos em bastidores ou gaiolas seguras dedicadas, mantidas separadas da população geral de servidores. A Microsoft também recomenda a configuração de controladores de domínio com chips TPM (Trusted Platform Module).
- Utilizar encriptação. Proteja todos os volumes nos servidores do controlador de domínio utilizando a Encriptação de Unidade de Disco BitLocker.
- Proteger os controladores de domínio virtuais. Execute os controladores de domínio virtuais em anfitriões físicos separados de outras máquinas virtuais. Os administradores deste anfitrião podem controlar os controladores de domínio virtual, por isso mantenha essas contas de administrador separadas de outros administradores de virtualização.
O reforço do Active Directory é obrigatório
O fortalecimento do Active Directory requer uma combinação de vigilância e proatividade. Na Semperis, oferecemos ferramentas para ajudar as organizações a identificar e solucionar falhas de segurança em seus ambientes do Active Directory.
- Avalie a sua superfície de ataque de identidade híbrida e feche os caminhos para os seus activos de identidade de Nível 0 com ferramentas gratuitas como Purple Knight e Forest Druid.
- Analise a sua arquitetura de segurança e desenvolva planos de correção e recuperação - ou, se o pior acontecer, obtenha ajuda especializada para um ataque ativo - com os Breach Preparedness & Response Services.
- Implemente a reversão automática de alterações suspeitas no Active Directory com Directory Services Protector ( DSP).
- Acelere e simplifique o processo de recuperação do Active Directory com Active Directory Forest Recovery ( ADFR).
- Mantenha a modernização e a migração do Active Directory seguras com a ajuda especializada da Semperis.
Essas soluções podem ajudá-lo a identificar, recuperar e responder a ataques cibernéticos, garantindo a integridade e a disponibilidade do Active Directory local, bem como do Entra ID e do Okta. Os primeiros passos não precisam ser caros ou demorados; há ferramentas gratuitas disponíveis para identificar lacunas críticas de segurança. Seja qual for a abordagem escolhida, comece tornando o fortalecimento do Active Directory uma parte documentada do seu plano de segurança cibernética.