Benvenuti all'ultima puntata di questa serie che discute le dieci migliori configurazioni di cybersicurezza CISA e NSA nel contesto di ambienti Active Directory ibridi. Active Directory è il sistema di identità della maggior parte delle organizzazioni: una parte critica dell'infrastruttura e un obiettivo primario per i cyberattaccanti.
Questa settimana, discuterò le ultime tre configurazioni errate dell'elenco CISA/NSA. Continuate a leggere per:
- Una rapida spiegazione di come ogni vulnerabilità influisce sugli ambienti ibridi di identità Active Directory
- Rischi per Active Directory e Entra ID
- Gli indicatori di esposizione (IOEs) e gli indicatori di compromissione (IOCs) che Semperis Directory Services Protector e Purple Knight utilizzano per avvisare l'utente dell'esistenza della vulnerabilità o dei tentativi di sfruttarla.
Leggete la serie dall'inizio: La top ten dell'NSA per le misconfigurazioni di cybersicurezza + sicurezza AD (parte 1)
8. Elenchi di controllo degli accessi non sufficientemente configurati su condivisioni e servizi di rete.
Una configurazione errata degli elenchi di controllo degli accessi (ACL), dal punto di vista della sicurezza di Active Directory, significa in genere che le autorizzazioni sono troppo permissive o assegnate in modo errato. Le ACL troppo permissive possono consentire agli utenti non autorizzati di accedere, modificare o eliminare i dati. Un'assegnazione errata può concedere agli utenti diritti di accesso non necessari per il loro ruolo o funzione. Entrambi i problemi possono derivare da uno dei seguenti fattori:
- Mancanza di comprensione del principio del minimo privilegio.
- Un'interpretazione errata dei requisiti di accesso
- Una semplice supervisione nella complessa attività di gestione dei diritti di accesso
Rischi per la sicurezza dell'identità
La vulnerabilità principale legata alla configurazione errata delle ACL riguarda le condivisioni e i servizi di rete che le ACL proteggono. Tuttavia, l'impatto potenziale si estende all'intera organizzazione. Un controllo degli accessi non corretto può portare a:
- Violazioni dei dati
- - Manipolazione non autorizzata dei dati
- - Interruzione dei servizi
Nel contesto di Active Directory e Entra ID, le ACL svolgono un ruolo critico nella protezione dell'infrastruttura di autenticazione e autorizzazione. I rischi sono amplificati dal ruolo centrale dei servizi.
Indicatori di esposizione e indicatori di compromissione
In Purple Knight e Directory Services Protector, i seguenti indicatori possono segnalare la presenza di ACL insufficienti:
- Autorizzazioni dello schema non standard. Per impostazione predefinita, le autorizzazioni di modifica dello schema sono limitate agli amministratori dello schema. Queste autorizzazioni garantiscono al responsabile fidato il controllo completo di Active Directory.
- Modifiche della delega alla testa del dominio NC. Le modifiche della delega a questo oggetto speciale potrebbero consentire agli utenti non privilegiati di sincronizzare il database di Active Directory per il cracking offline (ad esempio, un attacco DCSync).
- Principali non predefiniti con diritti di sincronizzazione DC sul dominio. I principi di sicurezza con queste autorizzazioni sull'oggetto contesto di denominazione del dominio possono potenzialmente recuperare gli hash delle password degli utenti in un dominio Active Directory (ad esempio, un attacco DCSync).
- Modifiche dei permessi sull'oggetto AdminSDHolder. Questo indicatore di sicurezza potrebbe indicare un tentativo di modificare le autorizzazioni su oggetti privilegiati soggetti ad AdminSDHolder.
- Accesso in scrittura a RBCD su account krbtgt. Gli aggressori che ottengono l'accesso in scrittura all'RBCD (role based constrained delegation) per una risorsa possono far sì che la risorsa impersoni qualsiasi utente.
- Registrazione dell'applicazione Azure con accesso in lettura/scrittura. Un'applicazione dannosa o mal configurata può portare all'esposizione dei dati o alla compromissione di un tenant Azure.
- Verificare la presenza di autorizzazioni API rischiose concesse ai principali servizi applicativi. Un amministratore di applicazione malintenzionato potrebbe utilizzare queste autorizzazioni per concedere privilegi amministrativi a se stesso o ad altri.
- Gli utenti non amministratori possono registrare applicazioni personalizzate in Entra ID. Se agli utenti non amministratori è consentito registrare applicazioni aziendali sviluppate su misura, gli aggressori potrebbero sfruttare questa scappatoia per registrare applicazioni dannose. Gli aggressori potrebbero poi sfruttare tali applicazioni per ottenere ulteriori autorizzazioni.
- Predefiniti di sicurezza non abilitati in Entra ID. Le impostazioni predefinite di sicurezza richiedono l'autenticazione multifattoriale (MFA), bloccano l'autenticazione tradizionale e richiedono un'autenticazione aggiuntiva quando si accede al portale Azure, ad Azure PowerShell e alla CLI Azure.
- Utenti privilegiati in AAD che sono anche privilegiati in AD. La compromissione di un account privilegiato sia in Active Directory che in Entra ID (ex Azure AD o AAD) può portare alla compromissione di entrambi gli ambienti.
- Utenti privilegiati di AD sincronizzati con AAD. Quando un utente privilegiato di Active Directory è sincronizzato con Entra ID (ex AAD), una compromissione dell'utente Entra ID può portare a una compromissione dell'ambiente on-premises.
9. Scarsa igiene delle credenziali
Una scarsa igiene delle credenziali potrebbe comportare:
- Utilizzo di password deboli
- Riutilizzare le password su più account
- Condivisione delle credenziali tra utenti
- Mancata modifica di nomi utente e password predefiniti
- Mancato aggiornamento regolare delle credenziali
- Mancato utilizzo dell'MFA
- Conservazione impropria delle credenziali (ad esempio, scrivendole su carta, conservandole in file digitali non protetti, utilizzando strumenti di gestione delle password non sicuri).
Rischi per la sicurezza dell'identità
Una scarsa igiene delle credenziali può mettere a rischio l'intero ecosistema di rete. I rischi sono particolarmente gravi negli ambienti che utilizzano Active Directory per la gestione delle risorse di rete e Entra ID per i servizi cloud.
In un contesto di Active Directory, una scarsa igiene delle credenziali può portare a:
- Accesso al dominio non autorizzato
- Movimenti laterali all'interno della rete
- Escalation dei privilegi
In breve, questo tipo di configurazione errata può consentire agli aggressori di ottenere un accesso persistente ai vostri sistemi e compromettere i dati sensibili.
Indicatori di esposizione e indicatori di compromissione
In Purple Knight e Directory Services Protector, i seguenti indicatori possono segnalare una scarsa igiene delle credenziali:
- Gli amministratori (o qualsiasi altro utente) con vecchie password. Se le password degli account amministratore non vengono modificate regolarmente, gli account possono essere soggetti ad attacchi di indovinare la password.
- Account amministratore di dominio incorporato con una vecchia password. Se la password non viene modificata regolarmente, l'account può essere vulnerabile agli attacchi di forza bruta.
- Account Kerberos krbtgt con vecchia password. Se la password dell'account krbtgt è compromessa, gli attori delle minacce possono eseguire attacchi Golden Ticket per ottenere l'accesso a qualsiasi risorsa in un dominio Active Directory.
- Account privilegiati (o qualsiasi utente) con una password che non scade mai. Gli account utente con password che non scadono mai sono bersagli maturi per l'indovinare le password con la forza bruta. Gli account che sono anche account amministrativi o privilegiati sono un bersaglio ancora più grande.
- Utenti privilegiati con criteri di password deboli. Le password deboli sono più facili da decifrare tramite attacchi brute-force e offrono agli aggressori l'opportunità di spostarsi lateralmente o di aumentare i privilegi. Il rischio è ancora maggiore per gli account privilegiati. Se compromessi, questi account aumentano le possibilità di un aggressore di avanzare rapidamente all'interno della rete.
- Account utente che memorizzano password con crittografia reversibile. Gli aggressori potrebbero essere in grado di ricavare queste password dal testo cifrato e impossessarsi degli account.
- Account utente che utilizzano la crittografia DES. Gli aggressori possono facilmente decifrare le password DES utilizzando strumenti ampiamente disponibili, rendendo questi account maturi per l'acquisizione.
- La protezione personalizzata delle password vietate non è in uso in Entra ID. Le organizzazioni che non utilizzano una protezione personalizzata delle password vietate sono più soggette ad attacchi di indovinare la password.
10. Esecuzione di codice senza restrizioni
L'esecuzione di codice senza restrizioni può derivare da varie configurazioni errate, tra cui:
- Permessi utente eccessivamente permissivi
- Mancanza di whitelisting delle applicazioni,
- Funzionalità di sicurezza disabilitate o non configurate correttamente
- Uso inadeguato delle tecniche di sandboxing
Rischi per la sicurezza dell'identità
I sistemi con vulnerabilità nell'esecuzione di codice senza restrizioni sono a rischio di attività non autorizzate sia da parte di aggressori esterni che di minacce interne. Negli ambienti Active Directory, l'esecuzione di codice senza restrizioni può consentire a un aggressore di aumentare i privilegi o di eseguire movimenti laterali all'interno della rete. In Entra ID, questo tipo di configurazione errata può consentire l'esecuzione di codice dannoso che può compromettere i servizi e i dati del cloud.
Indicatori di esposizione e indicatori di compromissione
Le modifiche dannose che sfruttano queste vulnerabilità in Active Directory eludono il registro degli eventi di sicurezza e non possono essere individuate con gli strumenti di monitoraggio standard. Per ridurre questi rischi, le organizzazioni dovrebbero utilizzare strumenti che forniscano un'ampia capacità di rilevamento e risposta alle minacce all'identità (ITDR). Ad esempio, DSP e PK possono eseguire la scansione di Active Directory e Entra ID alla ricerca di prove di un attacco Mimikatz DCShadow.
Fortificate le vostre difese d'identità
Questo elenco delle dieci migliori configurazioni di cybersecurity CISA e NSA pone problemi significativi di sicurezza, soprattutto negli ambienti Microsoft Windows e Active Directory. Tuttavia, tali vulnerabilità non sono limitate a questi ambienti. Piuttosto, indicano potenziali problemi in una varietà di configurazioni di rete.
Semperis sottolinea che strumenti di sicurezza come DSP-I e PK possono rilevare potenziali esposizioni e compromissioni della sicurezza, offrendo un modo per monitorare e correggere le modifiche all'infrastruttura AD.
L'implementazione di solide misure di cybersecurity, verifiche periodiche e l'adozione di un approccio proattivo alla gestione della configurazione di rete possono contribuire a mitigare questi rischi. Inoltre, strumenti solidi di rilevamento e risposta alle minacce all'identità (ITDR) come Directory Services Protector e Purple Knight-scaricabili e utilizzabili gratuitamente, possono aiutare i difensori della rete a prevenire o ridurre lo sfruttamento da parte di soggetti malintenzionati. Una difesa rafforzata e un monitoraggio regolare (o meglio ancora, continuo) del vostro ambiente Active Directory ibrido è il modo migliore per evitare che queste comuni ma critiche configurazioni errate rendano la giornata dei cyberattaccanti e rovinino la vostra.
Messaggi precedenti di questa serie
