Proteggere l’Active Directory (AD) è una sfida quotidiana. I livelli funzionali impongono che sia facilmente accessibile agli utenti di tutta l’azienda, il che lo rende un obiettivo particolarmente facile da colpire da parte dei criminal hacker. Microsoft ha evidenziato la gravità del problema dichiarando che più di 95 milioni di account AD vengono attaccati ogni giorno.
Proteggere l’Active Directory, però, non è impossibile. In questo articolo forniremo qualche consiglio su come farlo al meglio ed evitare le più comuni tattiche di attacco.
Zero Trust Security: come applicare il principio dei privilegi minimi per la sicurezza della rete
Indice degli argomenti
Limitare sessioni privilegiate e accessi diretti
Il primo step da compiere per proteggere l’Active Directory consiste nel limitare e tenere sotto controllo il numero di sessioni privilegiate, di accessi diretti, di servizio e di rete.
Una volta che un criminal hacker ha violato le difese perimetrali effettuerà una rilevazione per identificare le risorse potenzialmente preziose e il percorso per raggiungerle. Per farlo cercherà di colpire l’AD, camuffando le proprie azioni come normali attività con poche possibilità di essere individuato.
La capacità di rilevare e controllare il numero dei privilegi, degli accessi diretti e degli account di servizio può allertare i responsabili di sicurezza sulla presenza di un criminal hacker già nelle prime fasi del ciclo di attacco.
Anche la distribuzione di account e credenziali di dominio ingannevoli sugli endpoint può mettere in difficoltà gli aggressori e consentire al team interno di re-indirizzarli verso esche fasulle.
Individuare gli account privilegiati
Memorizzare le proprie credenziali sulle postazioni di lavoro è comodo e immediato, ma rende la vita più facile ai criminal hacker.
Il giusto set di credenziali può essere molto importante e gli intrusi cercheranno sempre di aumentare i propri privilegi e le possibilità di accesso.
Per evitare di favorire le intromissioni dei criminal hacker, le aziende possono identificare le esposizioni agli account privilegiati, rimediando alle configurazioni errate e rimuovendo le credenziali salvate, le cartelle condivise e altre vulnerabilità.
Proteggere e rilevare gli attacchi “Golden Ticket” e “Silver Ticket”
Il “Golden Ticket” e il “Silver Ticket” sono due dei tipi di attacco Pass the Ticket (PTT) più gravi utilizzati per ottenere la compromissione del dominio.
Per risolvere questo problema occorre poter rilevare gli account di servizio informatico e i Ticket Granting Ticket (TGT) Kerberos vulnerabili, identificando e segnalando le configurazioni errate che potrebbero potenzialmente portare ad attacchi PTT.
Inoltre, si potrebbe usare una soluzione specializzata in grado di impedire l’uso di ticket contraffatti negli endpoint.
Protezione contro gli attacchi Kerberoasting, DCSync e DCShadow
Un attacco “Kerberoasting” è un modo semplice per gli attaccanti di ottenere accesso privilegiato, mentre gli attacchi DCSync e DCShadow servono per mantenere persistenza nel dominio dell’azienda.
I responsabili della sicurezza devono essere in grado di eseguire una valutazione continua dell’AD che fornisca un’analisi in tempo reale degli attacchi all’AD e avvisi sulle configurazioni errate che portano a tali attacchi.
In aggiunta, una soluzione in grado di utilizzare misure di prevenzione a livello di endpoint, per impedire ai malintenzionati di scoprire gli account da colpire, può inibire la loro capacità di effettuare queste incursioni.
Prevenire l’acquisizione di credenziali dalle condivisioni di dominio
È sempre bene ricordare che, in generale, i criminal hacker puntano comunemente alle password in chiaro o reversibili memorizzate negli script o nei file dei criteri di gruppo, archiviati nelle condivisioni di dominio come Sysvol o Netlogon.
Identificare gli account con SID con privilegi nascosti
Utilizzando tecniche di injection dell’identificatore di sicurezza (SID) di Windows, gli avversari possono sfruttare l’attributo “history” del SID; ciò consente loro di spostarsi lateralmente all’interno dell’ambiente AD e di aumentare ulteriormente i propri privilegi.
Per evitare che questo accada, è necessario rilevare gli account impostati con valori SID privilegiati noti nell’attributo SID della cronologia e nei rapporti.
Rilevare la delega dei diritti di accesso pericolosi su oggetti critici
La delega è una funzione di AD che consente a un utente o a un account di computer di sostituirsi a un altro account. Ad esempio, quando un utente chiama un’applicazione web ospitata su un server web, l’applicazione può imitare le credenziali dell’utente per accedere alle risorse ospitate su un server diverso.
Qualsiasi computer di dominio con delega non vincolata abilitata può prendere le credenziali dell’utente a qualsiasi altro servizio del dominio. Purtroppo, gli attaccanti possono sfruttare questa funzione per accedere a diverse aree della rete.
Il monitoraggio continuo delle vulnerabilità AD e delle esposizioni alla delega può aiutare i responsabili interni a identificare e correggere queste vulnerabilità prima che si possa sfruttarle per scopi malevoli.
Identificare gli account privilegiati con delega abilitata
A proposito di delega, gli account privilegiati configurati con delega non vincolata possono portare direttamente ad attacchi Kerberoasting e Silver Ticket
Le aziende devono essere in grado di rilevare e segnalare gli account privilegiati con delega abilitata.
Un elenco completo di utenti privilegiati, amministratori diretti e account di servizio può aiutare i responsabili interni a fare il punto sulle potenziali vulnerabilità. In questo caso, la delega non è automaticamente negativa.
Identificare gli utenti non privilegiati
I servizi di dominio di Active Directory (AD DS) utilizzano l’AdminSDHolder e il processo Security Descriptor Propagator (SDProp) per proteggere gli utenti e i gruppi privilegiati.
L’AdminSDHolder ha un elenco di controllo degli accessi (ACL) unico, che verifica le autorizzazioni dei presidi di sicurezza che sono membri di gruppi AD privilegiati integrati. Per consentire il movimento laterale, gli attaccanti possono aggiungere account all’AdminSDHolder, concedendo loro lo stesso accesso privilegiato di altri account protetti.
Identificare le modifiche recenti ai criteri di dominio
All’interno di AD, le organizzazioni utilizzano i criteri di gruppo per gestire diverse configurazioni operative, definendo impostazioni di sicurezza specifiche per l’ambiente.
Spesso configurano gruppi amministrativi e includono script di avvio e spegnimento. Gli amministratori li configurano per impostare i requisiti di sicurezza definiti dall’organizzazione a ogni livello, installare software e impostare le autorizzazioni dei file e del registro.
Purtroppo, i criminal hacker possono modificare questi criteri per ottenere la persistenza del dominio all’interno della rete. Il monitoraggio delle modifiche ai criteri di gruppo predefiniti può aiutare i responsabili interni a individuare rapidamente questi aggressori, riducendo i rischi per la sicurezza e aiutando a prevenire l’accesso privilegiato all’AD.
