A segurança do Microsoft Active Directory envolve lidar com uma mistura de riscos, que vão desde erros de gestão a vulnerabilidades não corrigidas. Escrevemos frequentemente sobre o facto de os ciberataques estarem a visar o AD para elevar privilégios e ganhar persistência na organização. Investigue uma violação de dados típica e descobrirá que provavelmente foram utilizadas credenciais roubadas - por vezes para a entrada inicial, por vezes para aceder a sistemas críticos, mas sempre em detrimento da organização visada.
O reforço do AD começa com o controlo das vulnerabilidades e dos erros comuns de configuração e gestão que preparam o caminho para os compromissos. Para defender o AD, os administradores precisam de saber como os atacantes estão a atacar o seu ambiente. Quantos, no entanto, conseguem passar num teste rápido sobre os tipos de falhas de segurança que os agentes de ameaças estão a utilizar à medida que avançam nas etapas da violação?
Leitura relacionada
Falha de autenticação
Parece irónico, mas alguns dos erros de configuração mais prevalecentes e prejudiciais que afectam o Active Directory estão relacionados com o processo de autenticação. Considere um cenário em que uma organização pretende permitir uma aplicação de terceiros ou interna que não se integra no AD, mas que pretende consultar o AD para obter utilizadores activos. O caminho mais fácil é simplesmente permitir o acesso anónimo ao Active Directory. Embora esta acção possa fazer sentido do ponto de vista da produtividade para administradores ocupados, também permite que utilizadores não autenticados consultem o AD. Se essa capacidade for activada sem controlos atenuantes, o perfil de risco dessa organização irá aumentar substancialmente.
A vulnerabilidade Zerologon comunicada em 2020 foi rapidamente explorada pelos atacantes porque lhes permitia alterar ou remover a palavra-passe de uma conta de serviço num controlador de domínio. Os resultados de uma exploração bem sucedida podem ser catastróficos. Palavras-passe fracas, palavras-passe que não expiram, ausência de palavras-passe - todos estes são sinais de aviso de que o ambiente AD de uma organização não é seguro.
As políticas de palavras-passe seguras devem estar na ordem do dia em toda a infra-estrutura do Active Directory. Qualquer conta com o sinalizador PASSWD_NOTREQD definido deve ser automaticamente objecto de um exame mais minucioso e ter uma razão justificável para a sua configuração. Além disso, as palavras-passe - especialmente as palavras-passe de contas de serviço - devem ser periodicamente alteradas. Deixar as palavras-passe inalteradas durante longos períodos de tempo aumenta a probabilidade de um ataque de força bruta bem sucedido, uma vez que os atacantes terão mais tempo para as utilizar.
Os problemas de autenticação a ter em conta incluem:
- Computadores e objetos de Contas de Serviço Geridas por Grupo (gMSA) com palavras-passe definidas há mais de 90 dias
- Palavras-passe reversíveis encontradas em Objectos de Política de Grupo (GPOs)
- Acesso anónimo ao Active Directory ativado
- Vulnerabilidade do Zerologon (CVE-2020-1472) se a correcção não for aplicada.
Autorização de autorizações excessivas
Como a maioria dos ambientes AD está em produção há muitos anos, as suas superfícies de ataque aumentaram. Mqualquer uma das vulnerabilidades acumuladas de uma floresta pode ser atribuída à padrão que alguém precisa que algo seja feito, geralmente com urgência, e o mínimo–A melhor forma de o fazer é demasiado demorado, não é fácil de encontrar, ou simplesmente não se sabe. Consequentemente, o utilizador, o grupo ou a permissão recebem privilégios excessivos apenas para garantir que o pedido seja atendido e o ticket encerrado. E, claro, esses direitos nunca são removidos, pelo que a superfície de ataque não para de aumentar.
Na realidade, não é invulgar que os ambientes AD tenham um número desnecessariamente elevado de administradores de domínio - um facto que pode ser ainda mais preocupante se essas contas forem órfãs e estiverem simplesmente à espera de serem aproveitadas num ataque. As contas de serviço com permissões excessivas também representam um risco elevado porque as suas palavras-passe estão normalmente definidas para não expirarem e muitas delas terão palavras-passe fracas (o que as torna um bom alvo de kerberoasting). À medida que o número de utilizadores com privilégios administrativos aumenta, aumenta também a superfície de ataque que tem de ser protegida. A adesão a estes grupos deve ser rigorosamente controlada.
É claro que os erros acontecem. À medida que um ambiente AD se torna maior e mais complexo, por exemplo, alguém pode não contabilizar correctamente as permissões herdadas e, inadvertidamente, conceder demasiados privilégios a uma conta. Mas mesmo a gestão correcta da delegação de privilégios não é suficiente quando os atacantes tomam a ofensiva.
Como exemplo, considere o impacto de um ataque AdminSDHolder. Só para relembrar, o contentor AdminSDHolder armazena o Descritor de Segurança aplicado a grupos privilegiados. Por predefinição, a cada 60 minutos, o processo de Propagação da Descrição de Segurança (SDPROP) compara as permissões em objectos protegidos e reverte quaisquer discrepâncias de acordo com o que está definido no AdminSDHolder.
Num ataque AdminSDHolder, os agentes de ameaças exploram o SDPROP para manter a persistência, substituindo as permissões de um objecto pelas modificações não autorizadas do atacante. Se as alterações de permissão forem identificadas e anuladas, mas as alterações não autorizadas ao AdminSDHolder não forem detectadas, as alterações do atacante serão restabelecidas.
A auditoria das permissões e a monitorização de atividades suspeitas é a melhor defesa contra o abuso de privilégios.
Os problemas de autorização a ter em conta incluem:
- Objectos privilegiados com proprietários desprivilegiados
- Alterações de permissão no objecto AdminSDHolder
- Utilizadores sem privilégios com direitos de sincronização de DC no domínio
- Alterações ao esquema do descritor de segurança predefinido nos últimos 90 dias
Salvaguarda de segurança
Munidas de informações sobre indicadores de exposição (IOEs), as organizações podem reforçar a segurança do seu AD. Uma ferramenta que pode ajudar é Purple KnightPurple Knight consulta o seu ambiente do Active Directory em modo "só de leitura" e efectua um conjunto abrangente de testes contra os vectores de ataque mais comuns e eficazes para descobrir configurações de risco e fragilidades de segurança.
A análise do Active Directory fornece informações sobre a sua postura de segurança e reduz o risco de alterações não autorizadas ou configurações incorrectas não serem detectadas. Os administradores do AD precisam de saber mais do que o seu ofício; também precisam de conhecer as tácticas dos seus adversários. Mantendo os sinais de alerta críticos em mente, eles podem fortalecer o AD contra ataques comuns.
