Le infrastrutture Microsoft Active Directory (AD) sono un bersaglio molto redditizio per i criminali informatici. La cosa non stupisce affatto, vista la diffusione di questo servizio di gestione delle identità in ambiente aziendale (nel 2019 Active Directory veniva ancora utilizzata dal 95% delle aziende Fortune 500) e considerate le sue vulnerabilità di sicurezza. Sfruttando i punti deboli delle configurazioni Active Directory, i malintenzionati possono identificare percorsi di attacco e credenziali con privilegi e sferrare un attacco ransomware. Dagli ultimi report di 451 Research, Enterprise Management Associates (EMA) e Gartner emerge una preoccupazione generale per i problemi di sicurezza associati all’uso di Active Directory.
Gran parte di questi problemi è dovuta al fatto che Active Directory è stata introdotta nel 2000, quando la sicurezza informatica non era ancora una priorità. Molte aziende usano ancora vecchi sistemi AD che includono componenti rimasti inutilizzati per anni e che forniscono un punto d’accesso sfruttabile per gli attacchi informatici.
I cybercriminali sanno bene come e dove cercare i frammenti di codice lasciati indietro durante le numerose iterazioni di AD. Infatti, sfruttando l’infrastruttura della piattaforma per la gestione delle identità, gli utenti malintenzionati possono aumentare i propri privilegi e agire indisturbati con attacchi ransomware e furti di dati, finendo potenzialmente per assumere il controllo completo dell’organizzazione.
Secondo un sondaggio EMA, solo negli ultimi due anni il 50% delle aziende ha subito almeno un attacco che sfruttava in modo specifico AD, e che ha colpito nel segno in più del 40% dei casi. Preoccupa soprattutto il fatto che, durante i test di penetrazione, in genere si riesce a sfruttare l’esposizione di AD in circa l’80% delle simulazioni.
Rilevamento dei punti deboli delle infrastrutture AD
Esistono tuttavia misure efficaci che consentono di prevenire gli exploit più comuni per AD. Di seguito sono riportate alcune indicazioni pratiche per l’identificazione e l’eliminazione delle vulnerabilità di sicurezza nell’ambiente dell’infrastruttura AD.
- Garantire l’igiene dell’infrastruttura AD
Così come le buone abitudini di igiene fisica riducono la probabilità di ammalarsi, anche un’igiene appropriata dell’ambiente AD svolge un ruolo cruciale nella lotta al crimine informatico. Un servizio directory configurato in modo sicuro e senza errori è molto meno appetibile per gli utenti malintenzionati.
Occorre in primis esaminare continuativamente tutte le complessità dell’installazione AD per scoprire potenziali exploit e vettori di attacco, con valutazioni regolari se non continue delle vulnerabilità. È essenziale seguire le best practice di base per la sicurezza informatica, come l’eliminazione degli account orfani, l’applicazione di criteri rigorosi per il controllo degli accessi, l’implementazione di efficaci procedure di gestione dei rischi e, soprattutto, la rimozione dei componenti legacy.
- Identificare le caratteristiche comuni delle vulnerabilità di AD
Esaminando le vulnerabilità di sicurezza più sfruttate di AD si noterà che presentano molte analogie. Consideriamo ad esempio i tre attacchi più diffusi in questo momento: PetitPotam, PrintNightmare e Cronologia SID.
PetitPotam
Questo exploit dell’autenticazione obbligatoria è stato pubblicato per la prima volta nel luglio 2021. Gli utenti malintenzionati con un account di dominio possono autenticarsi utilizzando un’interfaccia vulnerabile, come Crittografia file system, e quindi sfruttare la classica funzione di inoltro NT LAN Manager (NTLM) per aumentare ulteriormente i propri privilegi.
Per proteggersi da PetitPotam, Microsoft consiglia di disabilitare l’autenticazione NTLM in tutti i sistemi che utilizzano i Servizi certificati Active Directory e di abilitare la protezione estesa per l’autenticazione, così da prevenire gli attacchi man-in-the-middle.
PrintNightmare
PrintNightmare è una serie di attacchi diretti contro lo spooler di stampa di Windows. Questo servizio, che ha lo scopo di memorizzare e accodare i lavori di stampa remota, può essere sfruttato dagli utenti malintenzionati della rete per introdurre una DLL nei driver della stampante e quindi eseguirla con le autorizzazioni di sistema. Qualunque utente ha la possibilità di connettersi al servizio e sfruttarlo per accedere al controller di dominio con autorizzazioni di sistema.
Come nel caso di PetitPotam, Microsoft suggerisce di disabilitare lo spooler di stampa di Windows sul controller di dominio.
Cronologia SID
Cronologia SID è un attributo dell’oggetto account che solitamente viene utilizzato solo negli scenari di migrazione, per l’integrazione di nuovi domini o durante le fusioni, che possono interessare migliaia di record. Alcuni frammenti di Cronologia SID rimangono inevitabilmente sul disco, e gli utenti sono riluttanti a eliminarli perché temono di perdere l’accesso ai vecchi sistemi.
Per gestire questa vulnerabilità è necessario garantire visibilità sugli identificatori di sicurezza (SID, Security Identifier), identificare i SID privilegiati e analizzarli per identificare le modifiche non autorizzate.
Ma che cos’hanno in comune tutte queste vulnerabilità? Nell’ordine, sono bersagli facili, sfruttano componenti legacy e sono facili da eliminare, perché basta sapere cosa cercare e dove.
- Ricordare che gli utenti malintenzionati cercano in genere obiettivi AD specifici
In genere, gli utenti malintenzionati che attaccano un ambiente AD non usano metodi sofisticati. Sono come ladri che si aggirano in un parcheggio alla ricerca di un’auto con gli sportelli o i finestrini aperti, molto più facile da rubare.
Gli obiettivi comuni includono:
- Sistemi legacy: i componenti più vecchi sono spesso poco utilizzati, poco monitorati e ampiamente sfruttabili.
- Errori di configurazione dei SID: solitamente assumono la forma di SID privilegiati orfani.
- Problemi con i criteri di sicurezza: i problemi di sicurezza dovuti agli errori di configurazione dei Criteri di gruppo sono fra gli obiettivi più comuni.
- Utilizzare strumenti di test per scoprire le vulnerabilità
Per scoprire ed eliminare le vulnerabilità più comuni è possibile utilizzare strumenti che analizzano l’ambiente AD allo scopo di identificare eventuali indicatori di esposizione e compromissione, come Purple Knight, uno strumento gratuito per la valutazione della sicurezza di AD realizzato da un team di esperti di Semperis. Anche se l’approccio ideale è una soluzione che monitora continuativamente l’ambiente AD in cerca di exploit, utilizzando regolarmente uno strumento autonomo come Purple Knight (due volte al mese è l’ideale) è possibile identificare i problemi potenziali e ottenere una roadmap per la correzione.
La protezione di AD è un processo continuo
Strumento essenziale per la gestione di identità e accessi nella maggior parte delle aziende, AD è il pilastro della strategia di protezione dell’infrastruttura, anche se molti asset vengono spostati nel cloud. Infatti, AD è alla base dell’architettura di gestione delle identità ibride comunemente utilizzata oggi, e lo sarà ancora per molto tempo, nonostante le sue note carenze di sicurezza. Le aziende possono in ogni caso migliorare il livello di sicurezza complessivo con la revisione sistematica degli errori di configurazione di AD maggiormente sfruttati. AD è ancora uno strumento utilissimo. Dobbiamo solo capire come utilizzarlo in modo appropriato e sicuro, evitando distrazioni che possono lasciare le porte aperte ai malintenzionati.
Tammy Mindel è Security Product Manager di Semperis.
