Difendersi dalle minacce basate sull'identità

Catalogo delle minacce all'identità

Scoprite le minacce all'identità più comuni, come rilevarle e come difendere il vostro ambiente AD dagli attacchi.

Quali sono i tipi più comuni di attacchi basati sull'identità?

Le agenzie di sicurezza informatica dell'alleanza Five Eyes, tra cui il CISA e l'NSA, hanno esortato le organizzazioni a rafforzare la sicurezza di Microsoft Active Directory (AD), un obiettivo primario per gli aggressori informatici. A causa della sua diffusione e complessità, AD è particolarmente vulnerabile alle minacce informatiche, in particolare agli attacchi basati sull'identità e alle tattiche discusse qui.

Modifica di AdminSDHolder

La modifica di AdminSDHolder è una tecnica utilizzata dagli aggressori per mantenere il controllo sugli account ad alto privilegio in Active Directory. Modificando le impostazioni di sicurezza speciali applicate a questi account, gli aggressori possono impedire agli amministratori di rimuovere il loro accesso.

Tostatura AS-REP

L'AS-REP Roasting è un metodo che gli aggressori utilizzano per rubare le password in un sistema richiedendo informazioni di accesso crittografate più facili da decifrare. Questa tattica prende di mira gli account che non richiedono controlli di sicurezza aggiuntivi al momento dell'accesso.

DCShadow

DCShadow è una tecnica di attacco che consente agli aggressori di registrare in Active Directory un controller di dominio non autorizzato. Gli aggressori possono quindi apportare modifiche non autorizzate direttamente al database AD evitando di essere rilevati.

DCSync

In un attacco DCSync, gli aggressori utilizzano autorizzazioni specifiche per indurre un controller di dominio a condividere hash di password e altri dati sensibili da Active Directory.

SAML d'oro/SAML d'argento

Un attacco Golden SAML è una tecnica in cui un aggressore falsifica le risposte di autenticazione SAML per ottenere un accesso non autorizzato alle applicazioni, spesso con privilegi elevati, senza bisogno di credenziali legittime o di un'interazione diretta con il fornitore di identità. In un attacco Silver SAML, gli attori delle minacce falsificano le risposte di autenticazione SAML da un provider di identità cloud come Microsoft Entra ID, consentendo l'accesso non autorizzato alle applicazioni che si fidano di tale provider, anche senza credenziali utente o autenticazione a più fattori.

Biglietto d'oro

In un attacco Golden Ticket, un aggressore ottiene il controllo di un componente di crittografia delle chiavi (l'account KRBTGT) in un dominio Windows, consentendo all'aggressore di creare biglietti Kerberos validi. Con questi ticket falsificati, l'aggressore può impersonare qualsiasi utente, compresi gli amministratori di dominio, e ottenere accesso illimitato all'intero dominio per un periodo prolungato.

gMSA d'oro

In un attacco Golden gMSA, gli attori delle minacce scaricano gli attributi della chiave di root KDS per generare e sfruttare le password dei Group Managed Service Account (gMSA), utilizzati per eseguire servizi con credenziali gestite.

Kerberoasting

Kerberoasting è un attacco in cui gli aggressori richiedono ticket di servizio per gli account che eseguono servizi in un dominio Windows. Questi ticket sono crittografati con l'hash della password dell'account di servizio e gli aggressori possono tentare di decifrare l'hash offline per recuperare la password dell'account di servizio.

Ricognizione LDAP

La ricognizione LDAP è una tecnica utilizzata dagli aggressori per interrogare il protocollo LDAP e raccogliere informazioni su utenti, gruppi, computer e autorizzazioni in un ambiente Active Directory.

Estrazione NTDS.dit

Quando gli aggressori copiano il file NTDS.dit, rubano il database di Active Directory, che contiene tutte le informazioni sugli account utente, compresi gli hash delle password. Con questo file, gli aggressori possono estrarre dati sensibili, come le password di tutti gli account del dominio.

Passare l'hash

In un attacco Pass the Hash, gli attori delle minacce utilizzano l'hash di una password rubata per autenticarsi e accedere ai sistemi come utente compromesso.

Passa il biglietto

In un attacco Pass the Ticket, gli attori delle minacce utilizzano un ticket Kerberos rubato per autenticarsi come utente senza bisogno della sua password.

Password di spruzzatura

In un attacco di Password Spraying, gli aggressori provano password comuni per molti account, anziché concentrarsi su un solo account. Questa tattica riduce la probabilità di blocco dell'account quando gli aggressori tentano di ottenere l'accesso e di aumentare i propri privilegi.

Estrazione di password in chiaro/abuso di GPP

L'abuso di Group Policy Preferences (GPP) è un ottimo esempio di estrazione di password in chiaro. Nelle versioni precedenti di GPP, gli amministratori potevano configurare account o servizi locali con password che venivano memorizzate in file XML, da cui potevano essere decodificate abbastanza facilmente. Inoltre, le password impostate in GPP potevano essere applicate a più server e stazioni di lavoro.

Biglietto d'argento

Un attacco Silver Ticket si verifica quando gli aggressori falsificano i ticket di servizio Kerberos per servizi specifici, come le condivisioni di file o le applicazioni Web, dopo aver compromesso le credenziali dell'account di servizio.

Sfruttamento di Zerologon

Zerologon è una vulnerabilità critica (CVE-2020-1472) nel protocollo di autenticazione Netlogon che consente agli aggressori di impersonare qualsiasi computer, compreso un controller di dominio.