Daniel Petri

Alla fine dello scorso anno, la National Security Agency (NSA) e la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti hanno pubblicato un elenco delle vulnerabilità più comuni nelle grandi reti informatiche. L'elenco delle dieci principali configurazioni errate della CISA e dell'NSA rivela debolezze sistemiche, in particolare negli ambienti Microsoft Windows e Microsoft Active Directory (ma non solo).

Eseguite la scansione dell'ambiente Active Directory ibrido: Scarica Purple Knight

Sia che il vostro ambiente si basi su Active Directory da solo o in combinazione con altri sistemi di identità, come Entra ID o Okta, affrontare queste vulnerabilità dovrebbe essere una priorità assoluta.

Qual è l'elenco delle dieci migliori configurazioni di cybersecurity stilato da CISA e NSA?

Basato sulle valutazioni dei team Red e Blue condotte dai team Defensive Network Operations (DNO) dell'NSA e Vulnerability Management (VM) e Hunt and Incident Response del CISA, l'elenco delle dieci principali misconfigurazioni di cybersecurity del CISA e dell'NSA riguarda sia il settore pubblico che quello privato. L'advisory illustra anche le tattiche, le tecniche e le procedure (TTP) che gli attori malintenzionati utilizzano per sfruttare le vulnerabilità dettagliate. Ai proprietari e agli operatori di rete, indipendentemente dai loro ambienti software specifici, si consiglia di controllare rigorosamente i loro sistemi per individuare queste configurazioni errate.

Perché concentrarsi su Active Directory?

Non tutti i problemi dell'elenco CISA/NSA riguardano direttamente Active Directory, ma molti lo fanno. L'ultimo Microsoft Digital Defense Report (MDDR, 2023) conferma l'urgenza di affrontare la sicurezza di Active Directory.

L'MDDR ha rilevato che quasi la metà dei clienti coinvolti nell'impegno di Microsoft Incident Response ha configurazioni di Active Directory non sicure. Inoltre, il rapporto afferma che:

Le lacune più frequenti che abbiamo riscontrato durante le attività di risposta reattiva agli incidenti sono state:

  • Mancanza di protezione adeguata per gli account amministrativi locali.
  • Una barriera di sicurezza infranta tra amministrazione on-premise e cloud.
  • Mancanza di adesione al modello del minimo privilegio.
  • Protocolli di autenticazione legacy.
  • Configurazioni Active Directory non sicure.

Queste lacune rendono possibili tattiche di attacco che vanno dall'accesso iniziale al movimento laterale e alla persistenza.

Rapporto Microsoft sulla difesa digitale 2023

Active Directory è il sistema di identità principale per la maggior parte delle organizzazioni odierne, sia pubbliche che private. Questo servizio di directory è centrale per la gestione delle identità e degli accessi. L'età del servizio, sviluppato decenni fa, e il suo ruolo critico nella gestione degli accessi in tutto l'ambiente lo rendono un obiettivo chiave per i cyberattacchi. Gli ambienti Active Directory ibridi (quelli che utilizzano Active Directory più Entra ID o un altro sistema di identità) aumentano la superficie di attacco e possono complicare gli sforzi di sicurezza.

Come si possono risolvere le configurazioni errate di Active Directory?

In Semperis, il nostro team di ricerca gestisce una libreria di indicatori di sicurezza per aiutarvi a valutare la vostra postura di sicurezza, a chiudere i percorsi di attacco e a individuare i comportamenti illeciti. Gli indicatori di esposizione (IOE) segnalano le vulnerabilità che i cyberattaccanti possono sfruttare (e spesso lo fanno). Gli indicatori di compromissione (IOC) segnalano schemi associati a comportamenti sospetti, spesso segno di una violazione, di account backdoor e di altre minacce attive.

I nostri strumenti di verifica di Active Directory, Directory Services Protector e lo strumento gratuito della comunità Purple Knight , utilizzano questi indicatori durante la scansione dell'infrastruttura Active Directory. I risultati forniscono un quadro completo della postura di sicurezza di Active Directory, con indicazioni prioritarie sulla mitigazione dei problemi identificati o, nel caso di Directory Services Protector, opzioni di rimedio automatico.

Semperis ha esaminato la top ten di CISA e NSA delle errate configurazioni di cybersecurity dal punto di vista di Active Directory. Questo post, il primo di una serie di tre parti, vi fornirà:

  • Una rapida spiegazione di ciascuna vulnerabilità in relazione a un ambiente ibrido di identità Active Directory
  • Rischi associati alla sicurezza dell'identità
  • Indicatori da osservare in Purple Knight o Directory Services Protector

In questo post tratterò i primi tre punti, per poi affrontare le restanti configurazioni errate nelle prossime due parti della serie.

1. Configurazioni predefinite in software e applicazioni

Le impostazioni predefinite possono costituire un problema significativo per la sicurezza. Ciò è dovuto principalmente al fatto che sono ben note e spesso non sufficientemente sicure per gli ambienti di produzione.

Le impostazioni predefinite sono in genere progettate per facilitare la distribuzione e l'esperienza dell'utente piuttosto che per la sicurezza. Possono includere:

  • Password semplici
  • Porte aperte non necessarie
  • Conti ospiti abilitati
  • Autorizzazioni eccessive

Queste carenze sono particolarmente pericolose quando si tratta di infrastrutture di rete e applicazioni mission-critical come Active Directory ed Entra ID.

Rischi per la sicurezza dell'identità

Active Directory è il repository di tutte le risorse di rete, compresi gli account utente, i criteri di gruppo e i controlli di accesso. Se compromesso, può fornire a un aggressore le "chiavi del regno". Anche Entra ID, che estende queste funzionalità alle risorse cloud, può essere un obiettivo redditizio. Se uno dei due servizi di directory viene compromesso, gli effetti possono essere catastrofici, con conseguenti violazioni dei dati e accesso non autorizzato a risorse sensibili.

L'uso di configurazioni predefinite può comportare diversi rischi per la sicurezza, tra cui:

  • Accesso non autorizzato
  • Escalation dei privilegi
  • Movimento laterale all'interno della rete
  • Infiltrazione di dati

Nel contesto di Active Directory, un aggressore potrebbe sfruttare le impostazioni predefinite per ottenere un punto d'appoggio iniziale compromettendo le credenziali predefinite deboli.

Indicatori di esposizione e indicatori di compromissione

In Purple Knight e Directory Services Protector, i seguenti indicatori possono segnalare l'esistenza o lo sfruttamento di configurazioni predefinite:

  • Il servizio di spooler di stampa è abilitato su un CC. Sono state riscontrate diverse falle critiche nei servizi di spooler di stampa di Windows. Queste falle interessano direttamente gli spooler di stampa installati sui controller di dominio, consentendo l'esecuzione di codice in modalità remota.
  • Gli utenti non privilegiati possono aggiungere account di computer al dominio. Gli attacchi basati su Kerberos possono abusare di questa capacità.
  • Accesso anonimo ad Active Directory abilitato. L'accesso anonimo può consentire agli utenti non autenticati di interrogare Active Directory.
  • Replica NTFRS SYSVOL. NTFRS è un vecchio protocollo che è stato sostituito da DFSR. Gli aggressori possono manipolare le vulnerabilità di NTFRS per compromettere SYSVOL e potenzialmente modificare GPO e script di accesso per propagare il malware e spostarsi lateralmente nell'ambiente.
  • Configurazione DNS non protetta. Gli aggressori possono sfruttare questo tipo di configurazione per aggiungere un nuovo record DSN o sostituire un record DNS esistente per creare un'interfaccia di gestione. Possono quindi attendere le connessioni in entrata e rubare le credenziali.
  • Gli utenti non amministratori possono creare tenant in Entra ID. I tenant configurati male e collegati agli utenti del tenant principale (dell'organizzazione) sono più facili da compromettere. Tali tenant non sono adeguatamente monitorati o protetti.

2. Separazione impropria dei privilegi di utente/amministratore

L'inadeguata separazione dei privilegi è un problema diffuso in molti ambienti IT. Questa pratica porta spesso a concedere diritti amministrativi a utenti che non ne hanno bisogno per le attività quotidiane, violando il principio del minimo privilegio.

In genere, agli utenti vengono concessi privilegi amministrativi tramite l'inserimento in gruppi privilegiati (come gli amministratori di dominio in Active Directory) o l'accesso come amministratore locale alle loro postazioni di lavoro. I colpevoli sono diversi:

  • Modelli di accesso tradizionali
  • Convenienza
  • Scarso controllo degli accessi
  • Supervisione

Il problema è esacerbato dalla concessione di privilegi persistenti anziché dalla concessione di privilegi condizionati, a seconda delle necessità.

Rischi per la sicurezza dell'identità

Questa configurazione errata rende vulnerabile l'intera rete. Gli utenti con privilegi amministrativi possono apportare ampie modifiche ad Active Directory, influenzando i criteri di gruppo, le impostazioni di sicurezza e altri componenti critici dell'infrastruttura.

Entra ID corre rischi simili. Inoltre, le applicazioni SaaS integrate e le risorse basate sul cloud potrebbero essere compromesse.

Indicatori di esposizione e indicatori di compromissione

In Purple Knight e Directory Services Protector, i seguenti indicatori possono segnalare una separazione impropria dei privilegi:

  • Account amministratore di dominio incorporato utilizzato nelle ultime due settimane. Prestate molta attenzione a questo indicatore, poiché potrebbe segnalare un utente compromesso.
  • Modifiche all'appartenenza a gruppi privilegiati negli ultimi 7 giorni. Questo indicatore può segnalare un tentativo di escalation dei privilegi.
  • Account di computer in gruppi privilegiati. Se un account del computer è membro del gruppo privilegiato del dominio, chiunque comprometta l'account del computer può agire come membro di tale gruppo.
  • Account di amministrazione abilitati che sono inattivi. Gli aggressori che compromettono questi account possono operare inosservati.
  • Amministratori effimeri. Questi account di breve durata potrebbero indicare un'attività dannosa.

3. Monitoraggio interno della rete insufficiente

Questa configurazione errata è una svista critica. Può lasciare l'organizzazione vulnerabile a intrusioni non rilevate, minacce interne e attività dannose.

Un monitoraggio interno della rete insufficiente può derivare da diversi problemi:

  • Mancanza di strumenti adeguati
  • Copertura insufficiente del traffico di rete
  • Meccanismi di allarme inadeguati
  • Assenza di un team dedicato all'analisi dei dati di monitoraggio.

Molte organizzazioni si concentrano sulla difesa del perimetro. Ma il traffico interno viene spesso trascurato, partendo dal presupposto che la rete interna sia sicura. Questa dimenticanza è problematica. Una volta che un aggressore ha violato il perimetro, spesso può spostarsi lateralmente senza opporre resistenza o essere individuato.

In particolare, le risorse interne critiche come Active Directory, che funge da spina dorsale per l'autenticazione e l'autorizzazione negli ambienti basati su Windows, sono obiettivi di alto valore. La mancanza di un solido monitoraggio di Active Directory può rendere l'organizzazione cieca di fronte ad anomalie interne che segnalano una violazione o attività non autorizzate.

Rischi per la sicurezza dell'identità

In un contesto di Active Directory, questa configurazione errata può portare alla mancata individuazione di indicatori di compromissione, tra cui:

  • Tentativi di accesso insoliti
  • Modifiche alle politiche di gruppo
  • La creazione di account privilegiati

In Entra ID, un monitoraggio insufficiente può portare alla mancata cattura:

  • Attività di accesso anomale
  • Accesso non autorizzato alle risorse del cloud
  • Modelli di utilizzo irregolari

Questi rischi possono portare alla violazione dei dati, all'interruzione dei servizi e a significativi danni operativi e di reputazione.

Indicatori di esposizione e indicatori di compromissione

Semperis si concentra sulla valutazione e sul miglioramento della sicurezza di Active Directory on-premises e Entra ID, piuttosto che sul monitoraggio del traffico di rete. Il nostro obiettivo principale è fornire approfondimenti sulle dinamiche all'interno di un ambiente Active Directory ibrido, identificando:

  • Quali modifiche vengono apportate
  • Chi sta avviando i cambiamenti
  • La natura delle attività degli utenti

Purple Knight esegue una valutazione puntuale dell'ambiente Active Directory ibrido. Lo strumento fornisce quindi un elenco prioritario di indicatori di sicurezza e una guida all'intervento.

Directory Services Protector conduce una sorveglianza continua dei componenti critici dell'identità, come i Group Policy Objects (GPO) e le autorizzazioni di accesso. Monitorando costantemente la posizione di sicurezza di Active Directory, è possibile verificare se la postura di sicurezza sta migliorando o diminuendo. È inoltre possibile configurare il rollback automatico delle modifiche sospette, nonché trigger e avvisi personalizzati.

Non rimandate: verificate oggi stesso Active Directory

Questo è tutto per questo post. Il prossimo post di questa serie tratterà le implicazioni di Active Directory delle quattro voci successive dell'elenco delle dieci migliori configurazioni di cybersecurity del CISA e dell'NSA. Nel frattempo, scaricate Purple Knight- è gratuito - e verificate se la vostra organizzazione è a rischio a causa degli indicatori discussi questa settimana.

Per saperne di più