Daniel Petri

Quando si parla di sicurezza informatica, e in particolare di sicurezza delle infrastrutture critiche di identità, l'aspettativa minima per ogni organizzazione dovrebbe essere quella di eliminare le vulnerabilità e le lacune di configurazione note. Benvenuti alla seconda delle nostre discussioni in tre parti su come l'elenco delle dieci migliori configurazioni di cybersecurity di CISA e NSA si applichi agli ambienti Active Directory ibridi e su come sia possibile rimediare a questi problemi nella propria organizzazione.

Lettura correlata: La Top Ten della NSA per la sicurezza informatica + Sicurezza AD (Parte 1 di 3)

Informazioni su questa serie

La prima parte di questa serie affronta le prime tre voci dell'elenco delle dieci migliori configurazioni di cybersicurezza stilato da CISA e NSA. In questo post vengono discusse le quattro voci successive. Concluderò l'elenco la prossima settimana, nella terza parte.

Ricapitolando: Active Directory è il sistema di identità principale per la maggior parte delle organizzazioni, indipendentemente dal settore. In questa serie, fornisco:

Immergiamoci in questa storia.

4. Mancanza di segmentazione della rete

La segmentazione della rete consiste nel dividere una rete in più sottoreti per ridurre al minimo il numero di host che possono interagire direttamente tra loro. Senza un'adeguata segmentazione, la rete di un'organizzazione è essenzialmente piatta. Una volta che un aggressore ottiene l'accesso a una parte della rete, può potenzialmente accedere a tutte le altre parti senza incontrare barriere interne.

Rischi per la sicurezza dell'identità

La mancanza di segmentazione non riesce a contenere le violazioni della sicurezza e può consentire un rapido movimento laterale da parte di soggetti malintenzionati. In una rete piatta, tutti i sistemi sono più facilmente accessibili da qualsiasi punto di ingresso, aumentando il potenziale impatto di una compromissione. I sistemi critici, come i database sensibili e i server che ospitano Active Directory, sono molto più vulnerabili alle minacce informatiche perché le difese interne sono minime.

Senza segmentazione, le minacce informatiche come il ransomware possono diffondersi più rapidamente nella rete aziendale. Active Directory è particolarmente a rischio perché è un obiettivo primario per gli aggressori che vogliono elevare i privilegi e ottenere il controllo amministrativo sulle risorse di rete.

Affrontare il rischio di identità

Nella cybersecurity, l'attenzione alla segmentazione va oltre la rete. La segmentazione comprende anche l'identità.

La segmentazione della fiducia supera il tradizionale (e insufficiente) affidamento alla foresta di Active Directory come unico confine di fiducia. Al contrario, richiede un livello di controllo granulare, noto come micro-segmentazione, che si allinea al framework Zero Trust. L'accesso alle risorse deve essere subordinato a una valutazione multiforme dell'affidabilità.

Per una solida postura di sicurezza, il processo decisionale deve essere informato da un'analisi completa di vari dati. Strumenti come Forest Druid consentono agli amministratori di individuare la posizione di ciascuna identità rispetto agli asset Tier 0, fornendo le informazioni dettagliate necessarie per prendere decisioni informate sulla sicurezza. Tali strumenti facilitano l'esportazione degli oggetti Tier 0 nei sistemi di autenticazione, consentendo così l'implementazione di protezioni aggiuntive, come l'autenticazione a due fattori (2FA) o l'attivazione di funzionalità di auditing avanzate, migliorando la sicurezza complessiva.

5. Cattiva gestione delle patch

La cattiva gestione delle patch si riferisce alla mancanza di processi sistematici per l'identificazione, l'acquisizione, il test e l'installazione di aggiornamenti e patch software in modo tempestivo e affidabile. Questa negligenza può portare a sistemi obsoleti all'interno della rete. Tali sistemi possono ospitare vulnerabilità note. Per gli ambienti complessi, compresi quelli che utilizzano Active Directory ed Entra ID, la gestione delle patch è fondamentale, dato il ruolo integrale che questi servizi svolgono nella sicurezza della rete e nella gestione delle identità.

Rischi per la sicurezza dell'identità

Ogni sistema o applicazione che non viene patchato regolarmente è un potenziale bersaglio per lo sfruttamento. La posta in gioco è ancora più alta per i servizi di directory. Active Directory, l'autorità centrale per l'autenticazione e l'applicazione dei criteri nella maggior parte degli ambienti basati su Windows, è particolarmente a rischio. Se un controller di dominio Active Directory viene compromesso a causa di una vulnerabilità non patchata, l'intero dominio, e forse l'intera foresta, è a rischio.

Le potenziali conseguenze di una cattiva gestione delle patch sono ampie e possono comprendere:

  • Violazioni dei dati
  • Infezioni da malware
  • Attacchi ransomware
  • Perdita del servizio

Indicatori di esposizione e indicatori di compromissione

In Purple Knight e Directory Services Protector, i seguenti indicatori possono segnalare problemi di gestione delle patch:

  • Enterprise Key Admins con accesso completo al dominio. Questo problema è stato corretto in una release di Windows 2016. Tuttavia, se la correzione non è stata applicata, i membri di questo gruppo possono replicare tutte le modifiche da Active Directory, come si vede negli attacchi DCSync.
  • Computer con versioni del sistema operativo meno recenti. I computer con versioni del sistema operativo più vecchie e non supportate possono essere presi di mira con exploit noti o non patchati.
  • SMBv1 è abilitato sui controller di dominio. SMBv1 è un vecchio protocollo (deprecato da Microsoft nel 2014), considerato non sicuro e suscettibile di ogni tipo di attacco.
  • La firma SMB non è richiesta sui controller di dominio. Il traffico di rete non firmato è suscettibile di attacchi che abusano del protocollo NTLM challenge-response.
  • Vulnerabilità di Zerologon. Senza questa patch, un aggressore non autenticato può sfruttare la CVE-2020-1472 per elevare i propri privilegi e ottenere l'accesso amministrativo al dominio.
  • Account di computer che sfruttano specifiche CVE. Un avviso su questi indicatori può indicare che un aggressore ha sfruttato la vulnerabilità specificata per aumentare i privilegi di un controller di dominio.

6. Bypassare i controlli di accesso al sistema

Un aggiramento dei controlli di accesso al sistema si verifica in genere quando i meccanismi di sicurezza sono configurati in modo improprio o quando vengono sfruttate le falle nella progettazione del sistema. Gli attori delle minacce possono utilizzare tale aggiramento per ottenere un accesso non autorizzato ai sistemi o ai dati. La configurazione errata o l'exploit possono derivare da una serie di problemi:

  • Impostazioni predefinite non sicure
  • Processi di autenticazione difettosi
  • Liste di controllo degli accessi (ACL) inefficaci
  • Lo sfruttamento delle vulnerabilità del sistema

Rischi per la sicurezza dell'identità

I sistemi con controlli di accesso non correttamente applicati sono intrinsecamente vulnerabili all'uso non autorizzato. Questo problema è di fondamentale importanza per i sistemi di gestione delle identità e degli accessi come Active Directory ed Entra ID.

Questi sistemi, che sono centrali per l'infrastruttura di sicurezza, gestiscono le identità degli utenti e controllano l'accesso alle risorse della rete. Se un utente malintenzionato riesce a eludere questi controlli, potrebbe ottenere lo stesso livello di accesso alle risorse degli utenti legittimi o, peggio ancora, aumentare i propri privilegi.

Se il bypass non viene rilevato, può potenzialmente consentire l'accesso persistente a un aggressore. In questi casi, un aggressore continua a sfruttare le vulnerabilità del sistema e ad accedere ai dati sensibili per un periodo prolungato. La persistenza non solo mette a rischio l'integrità, la riservatezza e la disponibilità dei vostri sistemi, ma potrebbe anche mettere la vostra organizzazione in violazione dei requisiti di conformità.

L'aggiramento dei controlli di accesso al sistema comprende attività che si discostano dalle procedure operative standard. Si consideri un avversario che comprometta un controller di dominio attraverso un'interazione fisica diretta con il sistema. Questa violazione può esporre componenti sensibili, come il disco di sistema e i backup di Active Directory, ad accessi non autorizzati. Una password Directory Services Restore Mode (DSRM) non adeguatamente protetta rappresenta una vulnerabilità significativa in questa situazione. L'aggressore potrebbe interrompere i servizi, introdurre payload dannosi nel database di Active Directory ed eseguire un riavvio del sistema per rendere effettive le modifiche.

Affrontare il rischio di identità

L'integrazione dei sistemi critici con una soluzione di monitoraggio completa può offrire visibilità sulle attività non autorizzate. Il monitoraggio regolare (o meglio ancora, continuo) di Active Directory può aiutarvi a rilevare e rispondere rapidamente agli incidenti di sicurezza delle identità.

7. Metodi MFA deboli o non configurati correttamente

L'autenticazione a più fattori (MFA) debole o mal configurata può manifestarsi in vari modi:

  • Consentire opzioni di fallback non sicure
  • Mancata applicazione dell'MFA su tutti gli account utente
  • Utilizzo di impostazioni predefinite senza adattare la configurazione alle esigenze dell'organizzazione.
  • Non mantenere aggiornato il software MFA

Gli aggressori possono sfruttare queste lacune per aggirare il livello di sicurezza aggiuntivo che l'MFA è stato progettato per fornire.

Qualsiasi account utente, applicazione o sistema che si basa sull'MFA per la sicurezza può essere compromesso se l'MFA non è configurato in modo solido. Il rischio è maggiore per gli account amministrativi, in particolare negli ambienti Active Directory o Entra ID. Tali account dispongono di privilegi elevati che possono essere sfruttati per causare danni diffusi all'interno dell'infrastruttura IT dell'organizzazione.

Rischi per la sicurezza dell'identità

L'uso improprio dell'MFA può ridurre la fiducia degli utenti nella sicurezza del sistema, portando potenzialmente a comportamenti rischiosi o al mancato rispetto dei criteri di sicurezza. Inoltre, se l'MFA è ritenuta inaffidabile, la vostra organizzazione potrebbe essere soggetta a controlli normativi e danni alla reputazione, in particolare se si verifica una violazione a causa di una configurazione errata.

Indicatori di esposizione e indicatori di compromissione

In Purple Knight e Directory Services Protector, i seguenti indicatori possono segnalare problemi relativi all'MFA:

  • MFA non configurato per gli account privilegiati in Entra ID. Gli account con accesso privilegiato sono bersagli più vulnerabili per gli aggressori. La compromissione di un utente privilegiato rappresenta un rischio significativo e richiede una protezione aggiuntiva.
  • Verificare la presenza di utenti con MFA debole o assente in Entra ID. Un utente malintenzionato può utilizzare i codici di vish o smish (forme di attacchi di social engineering) e indurre gli utenti a fornire l'autenticazione.
  • Verificare se l'autenticazione legacy è consentita in Entra ID. Consentire l'autenticazione legacy aumenta il rischio che un utente malintenzionato acceda utilizzando credenziali precedentemente compromesse.
  • Il criterio di accesso condizionato non richiede l'MFA sugli account privilegiati. La richiesta di MFA per gli account privilegiati rafforza la sicurezza del tenant e garantisce che gli account privilegiati si identifichino fornendo più di un nome utente e una password.
  • Criterio di accesso condizionato che non richiede l'MFA quando è stato identificato un rischio di accesso. Un rischio di accesso medio o alto rappresenta una probabilità medio-alta che sia stata effettuata una richiesta di autenticazione non autorizzata.
  • Corrispondenza dei numeri abilitata nell'MFA in Entra ID. Quando la corrispondenza dei numeri è abilitata nell'MFA, gli utenti sono soggetti ad attacchi di affaticamento MFA.

Rilevamento di configurazioni errate di Active Directory e Entra ID

La prossima settimana tratterò le implicazioni di Active Directory delle ultime tre voci della classifica CISA e NSA delle dieci principali misconfigurazioni di cybersecurity. Per ora, potete scaricare i nostri strumenti gratuiti per la comunità, Purple Knight e Forest Druidper iniziare a rilevare queste configurazioni errate nel vostro ambiente Active Directory.

Altri post di questa serie