Nel corso degli anni, il compito complesso di gestire reti di grandi dimensioni è stato semplificato grazie all’introduzione di Microsoft Active Directory (AD), che si basa sul concetto di domini e trust per consentire agli amministratori di gestire e proteggere in maniera efficace i sistemi presenti all’interno di ambienti estesi.
Le vulnerabilità di domini e trust sono fattori critici per la sicurezza delle identità. e, per quanto utili, le relazioni di dominio e di trust possono anche essere vulnerabili a una serie di minacce e rischi informatici.
Attacchi all’identità e alle credenziali di accesso: quali sono, impatti e come proteggersi
Indice degli argomenti
Domini e trust: i termini da conoscere
Per prima cosa, è importante conoscere la terminologia usata quando si parla di domini e trust.
- Un dominio definisce un insieme di computer collegati in rete che condividono un database comune gestito da un’autorità centrale, nota come domain controller (DC), responsabile dell’autenticazione degli utenti e della verifica che abbiano le autorizzazioni corrette per accedere alle risorse di rete.
- Una foresta di domini è una struttura gerarchica di domini che condividono un’amministrazione e un catalogo globale comune.
- Una relazione di trust definita tra due domini consente agli utenti di uno di accedere alle risorse dell’altro.
Comprendere le diverse tipologie di trust
Allo stesso modo, è importante conoscere anche i diversi tipi di trust:
- I trust unidirezionali permettono agli utenti di un dominio di accedere alle risorse di un altro, ma non viceversa.
- I trust bidirezionali consentono un accesso in entrambe le direzioni.
- I trust transitivi consentono agli utenti di un dominio di accedere alle risorse di altri domini che si fidano del primo. Ecco una spiegazione semplificata di questo trust: se io mi fido di te e tu di lei, allora io mi fiderò automaticamente di lei.
Il concetto di “implied trust”.
I rischi associati al trust
Compresa la terminologia e individuate le differenti tipologie di trust, possiamo esaminare alcuni dei rischi associati.
Il potere e la vulnerabilità del trust bidirezionale
Quando due aziende hanno un rapporto commerciale, o quando una ne acquisisce un’altra, è possibile stabilire un rapporto di trust bidirezionale tra i rispettivi domini, che può essere utile in determinate situazioni, ma evidenzia diverse vulnerabilità che necessitano di maggiore attenzione al fine di garantire la sicurezza dei domini coinvolti.
Un esempio eclatante di violazione dei dati ha coinvolto un’azienda del settore retail nel 2013. In quella circostanza, i cyber criminali hanno avuto accesso alla sua rete, compromettendo prima quella di un vendor HVAC di terze parti con cui aveva un trust bidirezionale.
Hanno poi rubato le credenziali di accesso dalla rete del vendor, utilizzandole per accedere al dominio del rivenditore. Una volta entrati in rete, sono stati in grado di muoversi lateralmente e accedere ai dati sensibili dei clienti, comprese le informazioni sulle carte di credito.
Questo incidente sottolinea ulteriormente le vulnerabilità delle relazioni di trust bidirezionali, in particolare nelle situazioni con fornitori terzi. In questo caso, gli attaccanti hanno potuto sfruttare una debolezza nella rete del partner per accedere al dominio della vittima, causando una grave violazione dei dati di cui si parla ancora oggi.
Un’immagine vale più di mille parole
Se si hanno centinaia o migliaia di domini e trust, leggere tutte le loro informazioni può essere un compito noioso, ma cosa potrebbe succedere se si potesse semplicemente guardare una mappa? La visualizzazione grafica delle relazioni tra domini e trust può rivelare in modo rapido ed efficace il tipo di informazioni che possono aiutare a prevenire incidenti.
Anche le fusioni e acquisizioni rappresentano un altro caso di utilizzo della funzione domini e trust.
Una volta stabilita la trust reciproca tra le due organizzazioni, a seguito di un’operazione di acquisizione, potrebbero nascondersi rischi critici per la sicurezza, qualora l’acquirente non gestisse correttamente i processi di Trust o si verificasse una violazione dello stesso.
Pertanto, prima di stabilire un rapporto di trust con il dominio acquisito, è opportuno eseguire un’analisi dei rischi ed eventualmente porvi subito rimedio. Solo a questo punto è possibile stabilire relazioni di trust.
Una mappa aziendale mostrata da Proofpoint Identity Threat Defense.
L’importanza di un filtro SID attivato
Una delle funzionalità sfruttabili nei trust è la cronologia dei security identifier (SID – Identificatori di sicurezza), funzione di Active Directory che consente agli amministratori di mantenere il SID di un account utente o di gruppo quando viene spostato da un dominio a un altro all’interno di una foresta di domini.
Il filtro SID è una funzione di sicurezza che impedisce accessi non autorizzati. Quando si verifica un evento di login, il sistema controlla il SID dell’utente rispetto ai permessi impostati per la risorsa: se non fosse presente nell’elenco di quelli autorizzati, gli verrà negato l’accesso.
Supponiamo, ad esempio, che un grande istituto finanziario non segua le best practice per il filtraggio SID. Un utente malintenzionato, consapevole di questa debolezza, potrebbe manipolare l’indirizzo IP di origine di un packet di rete in modo che corrisponda a un indirizzo IP fidato e autorizzato a comunicarvi e il firewall consentirebbe all’attaccante di accedere in rete. Una volta entrato, può muoversi lateralmente, compromettendo più sistemi, accedendo a informazioni sensibili, che potrebbe a sua volta utilizzare per effettuare transazioni fraudolente, causando perdite finanziarie significative per l’istituto.
La nostra prima raccomandazione quando emerge un filtro SID disabilitato sul trust è di abilitarlo ed eseguire una verifica approfondita dell’ambiente, assicurandosi che il filtraggio SID sia attivo in tutte le foreste e trust di dominio.
Conclusioni
Domini e trust sono componenti essenziali di un’infrastruttura Active Directory, ma possono anche essere vulnerabili a varie minacce.
Monitorare e rivedere regolarmente la loro gestione può aiutare ogni azienda a rendersi conto delle vulnerabilità per comprendere quali misure di sicurezza implementare per proteggere i propri sistemi.
