Daniel Petri

Quando se trata de segurança cibernética - especialmente a segurança da infraestrutura de identidade crítica - a expetativa mínima para cada organização deve ser fechar as vulnerabilidades conhecidas e as lacunas de configuração. Bem-vindo à segunda de nossa discussão em três partes sobre como a lista das dez principais configurações incorretas de segurança cibernética da CISA e da NSA se aplica a ambientes híbridos do Active Directory e como você pode corrigir esses problemas em sua própria organização.

Leitura relacionada: As dez principais falhas de segurança cibernética da NSA + Segurança AD (Parte 1 de 3)

Sobre esta série

A Parte 1 desta série aborda os três primeiros itens da lista dos dez principais erros de configuração da cibersegurança da CISA e da NSA. Este post discute os próximos quatro itens. Terminarei a lista na próxima semana, na Parte 3.

Para recapitular: O Active Directory é o principal sistema de identidade para a maioria das organizações, independentemente do sector. Nesta série, eu forneço:

Vamos mergulhar no assunto.

4. Falta de segmentação da rede

A segmentação da rede envolve a divisão de uma rede em várias sub-redes para minimizar o número de hosts que podem interagir diretamente uns com os outros. Sem uma segmentação adequada, a rede de uma organização é essencialmente plana. Quando um atacante obtém acesso a uma parte da rede, pode potencialmente aceder a todas as outras partes sem encontrar barreiras internas.

Riscos para a segurança da identidade

A falta de segmentação não consegue conter as violações de segurança e pode permitir um rápido movimento lateral por parte de agentes maliciosos. Numa rede plana, todos os sistemas são mais facilmente acessíveis a partir de qualquer ponto de entrada, aumentando o potencial impacto de um compromisso. Os sistemas críticos, como as bases de dados sensíveis e os servidores que alojam o Active Directory, são muito mais vulneráveis às ciberameaças porque as defesas internas são mínimas.

Sem segmentação, as ameaças cibernéticas, como o ransomware, podem espalhar-se mais rapidamente pela rede da sua organização. O Active Directory está particularmente em risco porque é um alvo principal para os atacantes que pretendem elevar os privilégios e obter controlo administrativo sobre os recursos da rede.

Abordar o risco de identidade

Na cibersegurança, o foco na segmentação estende-se para além da rede. A segmentação também engloba a identidade.

A segmentação de confiança ultrapassa a tradicional (e insuficiente) dependência da floresta do Active Directory como o único limite de confiança. Em vez disso, necessita de um nível granular de controlo, conhecido como micro-segmentação, que se alinha com a estrutura Zero Trust. O acesso aos recursos deve depender de uma avaliação multifacetada da confiabilidade.

Para uma postura de segurança robusta, a tomada de decisões deve ser informada por uma análise abrangente de vários pontos de dados. Ferramentas como Forest Druid permitem aos administradores identificar a posição de cada identidade relativamente aos activos de Nível 0, fornecendo a informação detalhada de que necessita para tomar decisões de segurança informadas. Estas ferramentas facilitam a exportação de objectos de Nível 0 para sistemas de autenticação, permitindo assim a implementação de salvaguardas adicionais, como a autenticação de dois factores (2FA), ou a ativação de funcionalidades de auditoria avançadas, melhorando a sua segurança global.

5. Má gestão das correcções

Na sua essência, a má gestão de patches refere-se à falta de processos sistemáticos para identificar, adquirir, testar e instalar actualizações e patches de software de forma atempada e fiável. Esta negligência pode levar a sistemas desactualizados a funcionar na rede. Esses sistemas podem conter vulnerabilidades conhecidas. Para ambientes complexos, incluindo aqueles que utilizam o Active Directory e o Entra ID, o gerenciamento de patches é crucial, dado o papel integral que esses serviços desempenham na segurança da rede e no gerenciamento de identidades.

Riscos para a segurança da identidade

Qualquer sistema ou aplicação que não seja corrigido regularmente é um potencial alvo de exploração. Os riscos são ainda maiores para os serviços de directórios. O Active Directory, a autoridade central para autenticação e aplicação de políticas na maioria dos ambientes baseados em Windows, está particularmente em risco. Se um controlador de domínio do Active Directory for comprometido devido a uma vulnerabilidade não corrigida, todo o domínio - possivelmente toda a floresta - está em risco.

As potenciais consequências de uma má gestão de patches são extensas e podem incluir:

  • Violações de dados
  • Infecções por malware
  • Ataques de ransomware
  • Perda de serviço

Indicadores de exposição e indicadores de comprometimento

Em Purple Knight e Directory Services Protector, os seguintes indicadores podem alertá-lo para problemas de má gestão de patches:

  • Administradores de chaves empresariais com acesso total ao domínio. Este problema foi corrigido numa versão do Windows 2016. No entanto, se a correção não tiver sido aplicada, os membros deste grupo podem replicar todas as alterações do Active Directory, como se vê nos ataques DCSync.
  • Computadores com versões mais antigas do sistema operativo. Os computadores com versões de SO mais antigas e não suportadas podem ser alvo de exploits conhecidos ou não corrigidos.
  • O SMBv1 está ativado nos controladores de domínio. O SMBv1 é um protocolo antigo (descontinuado pela Microsoft em 2014), que é considerado inseguro e suscetível a todos os tipos de ataques.
  • A assinatura SMB não é necessária nos Controladores de Domínio. O tráfego de rede não assinado é suscetível a ataques que abusam do protocolo de resposta a desafios NTLM.
  • Vulnerabilidade do Zerologon. Sem esta correção, um atacante não autenticado pode explorar a CVE-2020-1472 para elevar os seus privilégios e obter acesso administrativo ao domínio.
  • Contas de computador que tiram partido de CVEs específicos. Um alerta sobre estes indicadores pode significar que um atacante explorou a vulnerabilidade especificada para aumentar os privilégios de um controlador de domínio.

6. Contornar os controlos de acesso ao sistema

Um desvio dos controlos de acesso ao sistema ocorre normalmente quando os mecanismos de segurança são configurados incorretamente ou quando são exploradas falhas na conceção do sistema. Os agentes da ameaça podem utilizar esse desvio para obter acesso não autorizado a sistemas ou dados. Esta configuração incorrecta ou exploração pode ter origem numa variedade de questões:

  • Definições por defeito inseguras
  • Processos de autenticação com falhas
  • Listas de controlo de acesso (ACLs) ineficazes
  • A exploração das vulnerabilidades do sistema

Riscos para a segurança da identidade

Os sistemas com controlos de acesso indevidamente aplicados são inerentemente vulneráveis à utilização não autorizada. Esta questão é extremamente pertinente para os sistemas de gestão de identidade e acesso, como o Active Directory e o Entra ID.

Estes sistemas, que são centrais para a infraestrutura de segurança, gerem as identidades dos utilizadores e controlam o acesso aos recursos na rede. Se um atacante conseguir contornar estes controlos, pode obter o mesmo nível de acesso aos recursos que os utilizadores legítimos - ou pior ainda, aumentar os seus privilégios.

Se o desvio não for detectado, pode potencialmente permitir o acesso persistente a um atacante. Nesses casos, um atacante continua a explorar as vulnerabilidades do sistema e a aceder a dados sensíveis durante um período prolongado. A persistência não só põe em perigo a integridade, confidencialidade e disponibilidade dos seus sistemas, como também pode colocar a sua organização em violação dos requisitos de conformidade.

O desvio dos controlos de acesso ao sistema engloba actividades que se desviam dos procedimentos operacionais padrão. Considere um adversário que compromete um controlador de domínio através de interação física direta com o sistema. Esta violação pode expor componentes sensíveis, como o disco do sistema e as cópias de segurança do Active Directory, a um acesso não autorizado. Uma senha do Modo de Restauração dos Serviços de Diretório (DSRM) protegida de forma inadequada apresenta uma vulnerabilidade significativa nessa situação. O atacante pode interromper os serviços, introduzir cargas maliciosas na base de dados do Active Directory e executar uma reinicialização do sistema para colocar estas alterações em vigor.

Abordar o risco de identidade

A integração de sistemas críticos com uma solução de monitorização abrangente pode oferecer visibilidade de actividades não autorizadas. O monitoramento regular (ou melhor ainda, contínuo) do Active Directory pode ajudá-lo a detetar e responder rapidamente a incidentes de segurança de identidade.

7. Métodos MFA fracos ou mal configurados

A autenticação multifactor (MFA) fraca ou mal configurada pode ocorrer de várias formas:

  • Permitir opções de recurso inseguras
  • Não aplicar a MFA em todas as contas de utilizador
  • Utilizar definições predefinidas sem adaptar a configuração às necessidades da sua organização
  • Não manter o software MFA atualizado

Os atacantes podem explorar estas lacunas para contornar a camada de segurança adicional que a MFA foi concebida para fornecer.

Qualquer conta de utilizador, aplicação ou sistema que dependa da MFA para segurança pode ser comprometida se a MFA não estiver configurada de forma robusta. O risco é maior para contas administrativas, particularmente em ambientes Active Directory ou Entra ID. Nesses ambientes, essas contas têm privilégios elevados que podem ser explorados para causar danos generalizados na infraestrutura de TI da organização.

Riscos para a segurança da identidade

A utilização incorrecta da MFA pode reduzir a confiança do utilizador na segurança do sistema, levando potencialmente a comportamentos de risco ou ao não cumprimento das políticas de segurança. Além disso, se a MFA for considerada pouco fiável, a sua organização pode enfrentar um escrutínio regulamentar e danos na reputação, especialmente se ocorrer uma violação devido à má configuração.

Indicadores de exposição e indicadores de comprometimento

Em Purple Knight e Directory Services Protector, os seguintes indicadores podem alertá-lo para problemas relacionados com o MFA:

  • MFA não configurado para contas privilegiadas no Entra ID. As contas com acesso privilegiado são alvos mais vulneráveis para os atacantes. O comprometimento de um usuário privilegiado representa um risco significativo e requer proteção extra.
  • Verifique se há utilizadores com MFA fraco ou sem MFA no Entra ID. Um utilizador mal-intencionado pode fazer códigos vish ou smish (formas de ataques de engenharia social) e enganar os utilizadores para que forneçam autenticação.
  • Verifique se a autenticação herdada é permitida no Entra ID. Permitir a autenticação herdada aumenta o risco de um invasor fazer logon usando credenciais previamente comprometidas.
  • A Política de Acesso Condicional não exige MFA em contas privilegiadas. A exigência de MFA em contas privilegiadas reforça a segurança do inquilino e garante que as contas privilegiadas se identificam por terem de fornecer mais do que um nome de utilizador e uma palavra-passe.
  • Política de acesso condicional que não exige MFA quando o risco de entrada foi identificado. Um risco de entrada médio ou alto representa uma probabilidade média a alta de que uma solicitação de autenticação não autorizada tenha sido feita.
  • Correspondência de números activada na MFA em Entra ID. Quando a correspondência de números está activada no MFA, os utilizadores são propensos a ataques de fadiga do MFA.

Detetar configurações incorrectas do Active Directory e do Entra ID

Na próxima semana, abordarei as implicações do Active Directory nos três últimos itens da lista dos dez principais erros de configuração de cibersegurança da CISA e da NSA. Para já, pode descarregar as nossas ferramentas comunitárias gratuitas, Purple Knight e Forest Druide começar a detetar estas configurações incorrectas no seu ambiente do Active Directory.

Outras publicações desta série