Daniel Petri

Bem-vindo à última parte desta série que discute as dez principais configurações incorrectas de segurança cibernética da CISA e da NSA no contexto de ambientes híbridos do Active Directory. O Active Directory é o sistema de identidade da maioria das organizações: uma parte crítica da sua infraestrutura e um alvo principal para os ciberataques.

Esta semana, vou falar sobre as três últimas configurações incorrectas da lista da CISA/NSA. Continue a ler:

  • Uma rápida explicação de como cada vulnerabilidade afecta os ambientes de identidade híbridos do Active Directory
  • Riscos para o Active Directory e Entra ID
  • Indicadores de exposição (IOEs) e indicadores de compromisso (IOCs) que a Semperis Directory Services Protector e Purple Knight utilizam para o alertar para a existência da vulnerabilidade ou para as tentativas de a explorar

Leia a série desde o início: As dez principais falhas de segurança cibernética da NSA + Segurança AD (Parte 1)

8. Listas de controlo de acesso insuficientemente configuradas em partilhas e serviços de rede

A configuração incorrecta da lista de controlo de acesso (ACL), do ponto de vista da segurança do Active Directory, significa normalmente que as permissões são demasiado permissivas ou incorretamente atribuídas. As ACLs que são demasiado permissivas podem permitir que utilizadores não autorizados acedam, modifiquem ou eliminem dados. As atribuições incorrectas podem conceder aos utilizadores direitos de acesso desnecessários para o seu papel ou função. Qualquer um dos problemas pode resultar de uma das seguintes situações:

  • Falta de compreensão do princípio do menor privilégio
  • Uma interpretação incorrecta dos requisitos de acesso
  • Supervisão simples na complexa tarefa de gestão dos direitos de acesso

Riscos para a segurança da identidade

A principal vulnerabilidade relacionada com a má configuração das ACLs reside nas partilhas de rede e nos serviços que as ACLs protegem. No entanto, o impacto potencial estende-se a toda a organização. Um controlo de acesso inadequado pode levar a:

  • Violações de dados
  • - Manipulação não autorizada de dados
  • - Perturbação dos serviços

No contexto do Active Directory e do Entra ID, as ACLs desempenham um papel crítico na segurança da infraestrutura de autenticação e autorização. Os riscos são ampliados devido ao papel central dos serviços.

Indicadores de exposição e indicadores de comprometimento

Em Purple Knight e Directory Services Protector, os seguintes indicadores podem alertá-lo para ACLs insuficientes:

  • Permissões de esquema não padrão. Por predefinição, as permissões de modificação do esquema estão limitadas aos Administradores do esquema. Estas permissões concedem ao principal de confiança controlo total sobre o Active Directory.
  • Alterações de delegação para a cabeça do Domínio NC. As alterações na delegação a este objeto especial podem permitir que utilizadores sem privilégios sincronizem a base de dados do Active Directory para cracking offline (ou seja, um ataque DCSync).
  • Directores não predefinidos com direitos DC Sync no domínio. Os responsáveis de segurança com estas permissões no objeto de contexto de nomeação de domínio podem potencialmente obter hashes de palavra-passe para utilizadores num domínio do Active Directory (ou seja, um ataque DCSync).
  • Alterações de permissão no objeto AdminSDHolder. Este indicador de segurança pode indicar uma tentativa de modificar as permissões em objectos privilegiados que estão sujeitos a AdminSDHolder.
  • Acesso de escrita ao RBCD na conta krbtgt. Os atacantes que obtêm acesso de escrita à delegação restrita baseada em funções (RBCD) para um recurso podem fazer com que o recurso se faça passar por qualquer utilizador.
  • O registo de aplicações do Azure concedeu acesso de leitura/escrita. Uma aplicação maliciosa ou mal configurada pode levar à exposição ou comprometimento de dados num inquilino do Azure.
  • Verifique se existem permissões de API de risco concedidas aos mandantes do serviço de aplicação. Um administrador de aplicações malicioso pode utilizar estas permissões para conceder privilégios administrativos a si próprio ou a outros.
  • Os utilizadores não administradores podem registar aplicações personalizadas na Entra ID. Se os utilizadores não administradores puderem registar aplicações empresariais personalizadas, os atacantes podem utilizar essa lacuna para registar aplicações nefastas. Os atacantes poderiam então aproveitar essas aplicações para obter permissões adicionais.
  • Padrões de segurança não habilitados na ID Entra. Os padrões de segurança exigem autenticação multifator (MFA), bloqueiam a autenticação herdada e exigem autenticação adicional ao acessar o portal do Azure, o Azure PowerShell e a CLI do Azure.
  • Utilizadores privilegiados do AAD que também têm privilégios no AD. O comprometimento de uma conta com privilégios tanto no Active Directory quanto no Entra ID (antigo Azure AD ou AAD) pode levar ao comprometimento de ambos os ambientes.
  • Utilizadores privilegiados do AD que são sincronizados com o AAD. Quando um usuário privilegiado do Active Directory é sincronizado com o Entra ID (antigo AAD), um comprometimento do usuário do Entra ID pode levar a um comprometimento do ambiente local.

9. Má higiene das credenciais

A falta de higiene das credenciais pode envolver:

  • Utilizar palavras-passe fracas
  • Reutilização de palavras-passe em várias contas
  • Partilhar credenciais entre utilizadores
  • Não alterar os nomes de utilizador e as palavras-passe predefinidas
  • Não atualizar regularmente as credenciais
  • Não utilização de MFA
  • Armazenamento inadequado de credenciais (por exemplo, escrevê-las em papel, armazená-las em ficheiros digitais desprotegidos, utilizar ferramentas de gestão de palavras-passe inseguras)

Riscos para a segurança da identidade

A falta de higiene das credenciais pode colocar em risco todo o ecossistema da rede. Os riscos são particularmente graves em ambientes que utilizam o Active Directory para gestão de recursos de rede e o Entra ID para serviços na nuvem.

Num contexto do Active Directory, uma higiene deficiente das credenciais pode levar a:

  • Acesso não autorizado ao domínio
  • Movimentos laterais no interior da rede
  • Aumento de privilégios

Em suma, este tipo de configuração incorrecta pode permitir que os atacantes obtenham acesso persistente aos seus sistemas e comprometam dados sensíveis.

Indicadores de exposição e indicadores de comprometimento

Em Purple Knight e Directory Services Protector, os seguintes indicadores podem alertá-lo para uma má higiene das credenciais:

  • Administradores (ou quaisquer utilizadores) com palavras-passe antigas. Se as palavras-passe das contas de administrador não forem alteradas regularmente, as contas podem ser alvo de ataques de adivinhação de palavras-passe.
  • Conta de Administrador de domínio incorporada com palavra-passe antiga. Se esta palavra-passe não for alterada regularmente, a conta pode ficar vulnerável a ataques de força bruta à palavra-passe.
  • Conta krbtgt do Kerberos com palavra-passe antiga. Se a palavra-passe da conta krbtgt estiver comprometida, os agentes de ameaças podem efetuar ataques Golden Ticket para obter acesso a qualquer recurso num domínio Active Directory.
  • Contas privilegiadas (ou quaisquer utilizadores) com uma palavra-passe que nunca expira. As contas de utilizador com palavras-passe que nunca expiram são alvos perfeitos para a adivinhação de palavras-passe por força bruta. As contas que também são contas administrativas ou privilegiadas são um alvo ainda maior.
  • Utilizadores privilegiados com uma política de palavras-passe fraca. As palavras-passe fracas são mais fáceis de decifrar através de ataques de força bruta e dão aos atacantes a oportunidade de se deslocarem lateralmente ou de aumentarem os privilégios. O risco é ainda maior para as contas privilegiadas. Quando comprometidas, estas contas aumentam as hipóteses de um atacante avançar rapidamente na sua rede.
  • Contas de utilizador que armazenam palavras-passe com encriptação reversível. Os atacantes podem conseguir deduzir estas palavras-passe a partir de texto cifrado e assumir o controlo das contas.
  • Contas de utilizador que utilizam encriptação DES. Os atacantes podem facilmente decifrar as palavras-passe DES utilizando ferramentas amplamente disponíveis, o que torna estas contas aptas para serem controladas.
  • Proteção de senha proibida personalizada não está em uso no Entra ID. As organizações que não usam proteção de senha proibida personalizada são mais suscetíveis a ataques de adivinhação de senha.

10. Execução de código sem restrições

A execução irrestrita de código pode resultar de várias configurações incorrectas, incluindo:

  • Permissões de utilizador demasiado permissivas
  • Falta de listas brancas de aplicações,
  • Características de segurança desactivadas ou mal configuradas
  • Utilização inadequada de técnicas de "sandboxing

Riscos para a segurança da identidade

Os sistemas com vulnerabilidades de execução de código sem restrições estão em risco de actividades não autorizadas tanto por atacantes externos como por ameaças internas. Em ambientes Active Directory, a execução irrestrita de código pode permitir que um invasor aumente privilégios ou execute movimentos laterais dentro da rede. No Entra ID, esse tipo de configuração incorreta pode permitir a execução de código malicioso que pode comprometer os serviços e dados da nuvem.

Indicadores de exposição e indicadores de comprometimento

As alterações maliciosas que tiram partido destas vulnerabilidades no Active Directory contornam o registo de eventos de segurança e não podem ser detectadas utilizando ferramentas de monitorização padrão. Para ajudar a mitigar esses riscos, as organizações devem usar ferramentas que forneçam deteção e resposta a ameaças de identidade expansivas (ITDR). Por exemplo, o DSP e o PK podem examinar o Active Directory e o Entra ID em busca de evidências de um ataque Mimikatz DCShadow.

Fortaleça as suas defesas de identidade

Esta lista das dez principais configurações incorrectas de cibersegurança da CISA e da NSA apresenta desafios de segurança significativos, especialmente em ambientes Microsoft Windows e Active Directory. No entanto, estas vulnerabilidades não se limitam a estes ambientes. Pelo contrário, indicam potenciais problemas numa variedade de configurações de rede.

A Semperis salienta que as ferramentas de segurança como DSP-I e PK podem detetar potenciais exposições e compromissos de segurança, oferecendo uma forma de monitorizar e retificar alterações na infraestrutura AD.

A implementação de medidas robustas de cibersegurança, auditorias regulares e a adoção de uma abordagem proactiva à gestão da configuração da rede podem ajudar a mitigar estes riscos. Além disso, ferramentas robustas de deteção e resposta a ameaças à identidade (ITDR) como Directory Services Protector e Purple Knight-que podem ser descarregadas e utilizadas gratuitamente, podem ajudar os defensores da rede a evitar ou atenuar a exploração por agentes maliciosos. Uma defesa fortificada e o monitoramento regular (ou melhor ainda, contínuo) do seu ambiente híbrido do Active Directory é a melhor maneira de evitar que essas configurações incorretas comuns, mas críticas, tornem o dia de um ciberatacante - e arruinem o seu.

Publicações anteriores desta série