A segurança do Microsoft Active Directory envolve lidar com uma mistura de riscos, que vão desde erros de gestão a vulnerabilidades não corrigidas. Escrevemos frequentemente sobre o facto de os ciberataques estarem a visar o AD para elevar privilégios e ganhar persistência na organização. Investigue uma violação de dados típica e descobrirá que provavelmente foram utilizadas credenciais roubadas - por vezes para a entrada inicial, por vezes para aceder a sistemas críticos, mas sempre em detrimento da organização visada.
O reforço do AD começa com o controlo das vulnerabilidades e dos erros comuns de configuração e gestão que preparam o caminho para os compromissos. Para defender o AD, os administradores precisam de saber como os atacantes estão a atacar o seu ambiente. Quantos, no entanto, conseguem passar num teste rápido sobre os tipos de falhas de segurança que os agentes de ameaças estão a utilizar à medida que avançam nas etapas da violação?
Leitura relacionada
Falha de autenticação
Parece irónico, mas alguns dos erros de configuração mais prevalecentes e prejudiciais que afectam o Active Directory estão relacionados com o processo de autenticação. Considere um cenário em que uma organização pretende permitir uma aplicação de terceiros ou interna que não se integra no AD, mas que pretende consultar o AD para obter utilizadores activos. O caminho mais fácil é simplesmente permitir o acesso anónimo ao Active Directory. Embora esta acção possa fazer sentido do ponto de vista da produtividade para administradores ocupados, também permite que utilizadores não autenticados consultem o AD. Se essa capacidade for activada sem controlos atenuantes, o perfil de risco dessa organização irá aumentar substancialmente.
A vulnerabilidade Zerologon comunicada em 2020 foi rapidamente explorada pelos atacantes porque lhes permitia alterar ou remover a palavra-passe de uma conta de serviço num controlador de domínio. Os resultados de uma exploração bem sucedida podem ser catastróficos. Palavras-passe fracas, palavras-passe que não expiram, ausência de palavras-passe - todos estes são sinais de aviso de que o ambiente AD de uma organização não é seguro.
As políticas de palavras-passe seguras devem estar na ordem do dia em toda a infra-estrutura do Active Directory. Qualquer conta com o sinalizador PASSWD_NOTREQD definido deve ser automaticamente objecto de um exame mais minucioso e ter uma razão justificável para a sua configuração. Além disso, as palavras-passe - especialmente as palavras-passe de contas de serviço - devem ser periodicamente alteradas. Deixar as palavras-passe inalteradas durante longos períodos de tempo aumenta a probabilidade de um ataque de força bruta bem sucedido, uma vez que os atacantes terão mais tempo para as utilizar.
Os problemas de autenticação a ter em conta incluem:
- Computadores e objetos de Contas de Serviço Geridas por Grupo (gMSA) com palavras-passe definidas há mais de 90 dias
- Palavras-passe reversíveis encontradas em Objectos de Política de Grupo (GPOs)
- Acesso anónimo ao Active Directory ativado
- Vulnerabilidade do Zerologon (CVE-2020-1472) se a correcção não for aplicada.
Autorização de autorizações excessivas
Como a maioria dos ambientes AD está em produção há muitos anos, as suas superfícies de ataque aumentaram. Mmuitas das vulnerabilidades acumuladas de uma floresta podem ser atribuídas ao padrão que alguém precisa de fazer alguma coisa, normalmente com pressa, e o mínimo-privilegiado para o fazer é demasiado muito demorado, não está facilmente disponívelou simplesmente não é conhecido. Como resultado, o utilizador ou grupo ou permissão é sobre-privilegiado apenas para garantir que o pedido será satisfeito e o bilhete fechado. E, claro, esse direito nunca é removido, de modo que a superfície de ataque simplesmente cresce e cresce.
Na realidade, não é invulgar que os ambientes AD tenham um número desnecessariamente elevado de administradores de domínio - um facto que pode ser ainda mais preocupante se essas contas forem órfãs e estiverem simplesmente à espera de serem aproveitadas num ataque. As contas de serviço com permissões excessivas também representam um risco elevado porque as suas palavras-passe estão normalmente definidas para não expirarem e muitas delas terão palavras-passe fracas (o que as torna um bom alvo de kerberoasting). À medida que o número de utilizadores com privilégios administrativos aumenta, aumenta também a superfície de ataque que tem de ser protegida. A adesão a estes grupos deve ser rigorosamente controlada.
É claro que os erros acontecem. À medida que um ambiente AD se torna maior e mais complexo, por exemplo, alguém pode não contabilizar correctamente as permissões herdadas e, inadvertidamente, conceder demasiados privilégios a uma conta. Mas mesmo a gestão correcta da delegação de privilégios não é suficiente quando os atacantes tomam a ofensiva.
Como exemplo, considere o impacto de um ataque AdminSDHolder. Só para relembrar, o contentor AdminSDHolder armazena o Descritor de Segurança aplicado a grupos privilegiados. Por predefinição, a cada 60 minutos, o processo de Propagação da Descrição de Segurança (SDPROP) compara as permissões em objectos protegidos e reverte quaisquer discrepâncias de acordo com o que está definido no AdminSDHolder.
Num ataque AdminSDHolder, os agentes de ameaças exploram o SDPROP para manter a persistência, substituindo as permissões de um objecto pelas modificações não autorizadas do atacante. Se as alterações de permissão forem identificadas e anuladas, mas as alterações não autorizadas ao AdminSDHolder não forem detectadas, as alterações do atacante serão restabelecidas.
A auditoria das permissões e a monitorização de atividades suspeitas é a melhor defesa contra o abuso de privilégios.
Os problemas de autorização a ter em conta incluem:
- Objectos privilegiados com proprietários desprivilegiados
- Alterações de permissão no objecto AdminSDHolder
- Utilizadores sem privilégios com direitos de sincronização de DC no domínio
- Alterações ao esquema do descritor de segurança predefinido nos últimos 90 dias
Salvaguarda de segurança
Munidas de informações sobre indicadores de exposição (IOEs), as organizações podem reforçar a segurança do seu AD. Uma ferramenta que pode ajudar é Purple KnightPurple Knight consulta o seu ambiente do Active Directory em modo "só de leitura" e efectua um conjunto abrangente de testes contra os vectores de ataque mais comuns e eficazes para descobrir configurações de risco e fragilidades de segurança.
A análise do Active Directory fornece informações sobre a sua postura de segurança e reduz o risco de alterações não autorizadas ou configurações incorrectas não serem detectadas. Os administradores do AD precisam de saber mais do que o seu ofício; também precisam de conhecer as tácticas dos seus adversários. Mantendo os sinais de alerta críticos em mente, eles podem fortalecer o AD contra ataques comuns.
