Compreender como ocorrem os compromissos é uma parte fundamental da formação de uma defesa de cibersegurança. Com isso em mente, juntei-me recentemente a Andy Robbins, co-criador da ferramenta de descoberta de caminhos de ataque de código aberto, BloodHound, para um webinar que descreveu como os atacantes visam o Active Directory (AD).
Durante a apresentação, destacámos uma verdade incómoda: o centro dos serviços de identidade empresarial é agora um pedaço maduro e suculento de fruta fácil de apanhar. Não é de surpreender que o Active Directory seja uma fonte de interesse para os atacantes, mas o quanto ele se tornou um alvo fácil é frequentemente subestimado-provavelmente porque o seu estatuto de elo fraco na cadeia de segurança não se deve a vulnerabilidades de código de alto perfil. De facto, em muitos casos, as portas mais largas para os atacantes são as portas abertas por configurações de implementação comuns e erros de gestão.
Porque é que a AD é um alvo fácil
O facto é que o AD não foi criado a pensar nos desafios de segurança modernos. No passado, os testadores e os atacantes baseavam-se em explorações do lado do servidor para comprometer os sistemas. Uma vez lá dentro, utilizavam palavras-passe de administrador local comuns para se deslocarem lateralmente na rede. Actualmente, têm à sua disposição técnicas mais fiáveis, com menor risco de detecção ou de provocar uma falha no sistema. Estas técnicas utilizam ferramentas como o BloodHound e abusam de protocolos incorporados no sistema operativo Windows e no próprio AD.
O BloodHound, por exemplo, pode ser apontado para o Active Directory e utilizado para identificar caminhos de ataque e encontrar a forma mais fácil de os agentes de ameaças elevarem os privilégios num ambiente. Isto é possível porque, por defeito, os utilizadores do domínio têm acesso de leitura a qualquer objecto no AD. Infelizmente, para muitas empresas, a complexidade das aplicações e da infra-estrutura torna difícil remover o acesso a objectos que possam interessar aos atacantes, deixando uma potencial porta aberta para os atacantes efectuarem o reconhecimento.
Esta é a realidade da protecção do AD. Embora as vulnerabilidades relacionadas com o código possam ser resolvidas aplicando as actualizações de segurança mais recentes o mais rapidamente possível, é a forma como o AD é implementado num ambiente que constitui frequentemente o maior desafio à segurança. Os desafios que as organizações enfrentam só aumentam à medida que o ambiente do AD se torna mais complexo. À medida que os utilizadores e os grupos são adicionados ou eliminados, a probabilidade de ocorrerem erros de configuração à medida que a equipa de TI trabalha para manter definições e políticas consistentes continua a aumentar. Estes erros podem assumir muitas formas, desde a delegação sem restrições até à não consideração das permissões herdadas ao aninhar um grupo.
Mas, como diz o ditado, mais vale um grama de prevenção do que um quilo de cura. Fortalecer o Active Directory significa mais do que apenas aplicar patches. Significa também fechar as portas abertas por problemas como a má gestão de grupos e, para isso, as organizações precisam de saber o que procurar.
Reduzir o risco através da visibilidade
Os problemas mais críticos são aqueles que podem permitir a escalada de privilégios e o movimento lateral por parte dos atacantes. Considere dois ataques comuns.
Primeiro incidente: os atacantes têm como alvo o AdminSDHolder objecto. Os atacantes tentam modificar a Lista de Controlo de Acesso (ACL) para alterar as permissões em objectos privilegiados através de AdminSDHolder. Se forem bem sucedidos, isto dará a qualquer conta que tenham adicionado à ACL os privilégios de outras contas num grupo.
Segundo incidente: os intrusos lançam ataques Golden Ticket. Os ataques Golden Ticket têm como alvo o Kerberos, e envolvem atacantesque obtiveram o hash da palavra-passe da palavra-passe krbtgt forjando um ticket de logon para escalar privilégios e entrar em qualquer serviço como qualquer utilizador.
No fundo, uma defesa contra estes e outros ataques resume-se à monitorização do AD para detectar actividades suspeitas. Para o fazer de forma eficaz, é importante tirar partido das informações sobre as tácticas dos atacantes. Reduzir o cenário de ameaças através de acções como a revisão das permissões e a aplicação do princípio do menor privilégio nos grupos do AD, utilizando palavras-passe complexas e assegurando que as actualizações de segurança dos servidores do AD recebem elevada prioridade é apenas uma parte da equação para uma defesa forte. A outra exige a capacidade de detectar e responder dinamicamente às ameaças à medida que estas surgem.
Recentemente, a Semperis passou a ajudar os clientes a enfrentar este desafio tecnológico. Em Junho, lançámos o Directory Services Protector (DSP) v3.0, que fornece monitoramento contínuo e avaliação de vulnerabilidades. O DSP examina o Active Directory em busca de indicadores de exposição e, em seguida, prioriza as vulnerabilidades de acordo com seu risco. Esta capacidade é ainda melhorada por uma combinação de inteligência de ameaças incorporada e orientação de uma comunidade de investigadores de segurança. À medida que são descobertas novas investigações sobre ameaças, são adicionados dinamicamente indicadores de segurança adicionais para que sejam detectadas novas técnicas de ataque.
Armado com as informações mais actuais sobre ameaças, Semperis DSP pode usar seu novo recurso de correção automática para reverter alterações operacionais críticas ou relacionadas à segurança sem qualquer envolvimento do administrador. Com a correção automática, sua organização pode desfazer alterações suspeitas e evitar mais danos antes que eles ocorram. Também dá às organizações a capacidade de detectar alterações e eliminações em todas as partições do AD e Objectos de Política de Grupo, mesmo que o atacante contorne o registo.
A prevenção em acção
A boa notícia sobre a protecção do AD é que os meios para evitar ataques estão mesmo à nossa frente. Na Semperisactualizamos actualizamos regularmente uma lista de indicadores de ameaças que permitem às empresas fechar a porta aos tipos de falhas de segurança que os atacantes adoram. Veja-se, por exemplo, as alterações recentes à política de domínio predefinida ou aos controladores de domínio predefinidos controladores política GPOs. Este tipo de modificação pode indicar que os atacantes estão activos no ambiente, uma vez que estes Objectos de Política de Grupo (GPOs) controlam as definições de segurança e podem ser utilizados para obter acesso privilegiado ao AD. Outro exemplo é uma alteração inesperada do descritor de segurança padrão padrão em uma classe de objecto no esquema-um alvo interessante para os atacantes porque quaisquer alterações podem ser propagadas a objectos recém-criados.
A utilização de indicadores de ameaças para auxiliar os esforços de monitorização melhora a eficácia dos controlos de segurança em torno do AD. Quando combinada com a capacidade de anular alterações e efectuar avaliações de vulnerabilidades que assinalam contas de utilizador com controlos de risco, reduz a probabilidade de comportamentos maliciosos afectarem o AD e não serem detectados.
Os agentes das ameaças seguem o caminho de menor resistência para atingir os seus objectivos. Enquanto a porta da frente estiver aberta devido a configurações incorrectas ou à forma como o AD funciona, os atacantes continuarão a aproximar-se da sua empresa's doorstep. Para reforçar o AD, as equipas de TI têm de tirar partido das informações sobre as tácticas dos seus adversários e concentrar os seus esforços de segurança na colocação do maior número possível de obstáculos digitais aos caminhos de ataque.
