Cybersecurity: Utenti malintenzionati e vulnerabilità delle infrastrutture Active Directory legacy 1

Cybersecurity: Utenti malintenzionati e vulnerabilità delle infrastrutture Active Directory legacy

Le infrastrutture Microsoft Active Directory (AD) sono un bersaglio molto redditizio per i criminali informatici. La cosa non stupisce affatto, vista la diffusione di questo servizio di gestione delle identità in ambiente aziendale (nel 2019 Active Directory veniva ancora utilizzata dal 95% delle aziende Fortune 500) e considerate le sue vulnerabilità di sicurezza. Sfruttando i punti deboli delle configurazioni Active Directory, i malintenzionati possono identificare percorsi di attacco e credenziali con privilegi e sferrare un attacco ransomware. Dagli ultimi report di 451 Research, Enterprise Management Associates (EMA) e Gartner emerge una preoccupazione generale per i problemi di sicurezza associati all’uso di Active Directory.

Gran parte di questi problemi è dovuta al fatto che Active Directory è stata introdotta nel 2000, quando la sicurezza informatica non era ancora una priorità. Molte aziende usano ancora vecchi sistemi AD che includono componenti rimasti inutilizzati per anni e che forniscono un punto d’accesso sfruttabile per gli attacchi informatici.

I cybercriminali sanno bene come e dove cercare i frammenti di codice lasciati indietro durante le numerose iterazioni di AD. Infatti, sfruttando l’infrastruttura della piattaforma per la gestione delle identità, gli utenti malintenzionati possono aumentare i propri privilegi e agire indisturbati con attacchi ransomware e furti di dati, finendo potenzialmente per assumere il controllo completo dell’organizzazione.

Secondo un sondaggio EMA, solo negli ultimi due anni il 50% delle aziende ha subito almeno un attacco che sfruttava in modo specifico AD, e che ha colpito nel segno in più del 40% dei casi. Preoccupa soprattutto il fatto che, durante i test di penetrazione, in genere si riesce a sfruttare l’esposizione di AD in circa l’80% delle simulazioni.

Rilevamento dei punti deboli delle infrastrutture AD

Esistono tuttavia misure efficaci che consentono di prevenire gli exploit più comuni per AD. Di seguito sono riportate alcune indicazioni pratiche per l’identificazione e l’eliminazione delle vulnerabilità di sicurezza nell’ambiente dell’infrastruttura AD.

1. Garantire l’igiene dell’infrastruttura AD

Così come le buone abitudini di igiene fisica riducono la probabilità di ammalarsi, anche un’igiene appropriata dell’ambiente AD svolge un ruolo cruciale nella lotta al crimine informatico. Un servizio directory configurato in modo sicuro e senza errori è molto meno appetibile per gli utenti malintenzionati.

Occorre in primis esaminare continuativamente tutte le complessità dell’installazione AD per scoprire potenziali exploit e vettori di attacco, con valutazioni regolari se non continue delle vulnerabilità. È essenziale seguire le best practice di base per la sicurezza informatica, come l’eliminazione degli account orfani, l’applicazione di criteri rigorosi per il controllo degli accessi, l’implementazione di efficaci procedure di gestione dei rischi e, soprattutto, la rimozione dei componenti legacy.

2. Identificare le caratteristiche comuni delle vulnerabilità di AD

Esaminando le vulnerabilità di sicurezza più sfruttate di AD si noterà che presentano molte analogie. Consideriamo ad esempio i tre attacchi più diffusi in questo momento: PetitPotam, PrintNightmare e Cronologia SID.

PetitPotam

Questo exploit dell’autenticazione obbligatoria è stato pubblicato per la prima volta nel luglio 2021. Gli utenti malintenzionati con un account di dominio possono autenticarsi utilizzando un’interfaccia vulnerabile, come Crittografia file system, e quindi sfruttare la classica funzione di inoltro NT LAN Manager (NTLM) per aumentare ulteriormente i propri privilegi.

Per proteggersi da PetitPotam, Microsoft consiglia di disabilitare l’autenticazione NTLM in tutti i sistemi che utilizzano i Servizi certificati Active Directory e di abilitare la protezione estesa per l’autenticazione, così da prevenire gli attacchi man-in-the-middle.

PrintNightmare

PrintNightmare è una serie di attacchi diretti contro lo spooler di stampa di Windows. Questo servizio, che ha lo scopo di memorizzare e accodare i lavori di stampa remota, può essere sfruttato dagli utenti malintenzionati della rete per introdurre una DLL nei driver della stampante e quindi eseguirla con le autorizzazioni di sistema. Qualunqueutente ha la possibilità di connettersi al servizio e sfruttarlo per accedere al controller di dominio con autorizzazioni di sistema.

Come nel caso di PetitPotam, Microsoft suggerisce di disabilitare lo spooler di stampa di Windows sul controller di dominio.

Cronologia SID

Cronologia SID è un attributo dell’oggetto account che solitamente viene utilizzato solo negli scenari di migrazione, per l’integrazione di nuovi domini o durante le fusioni, che possono interessare migliaia di record. Alcuni frammenti di Cronologia SID rimangono inevitabilmente sul disco, e gli utenti sono riluttanti a eliminarli perché temono di perdere l’accesso ai vecchi sistemi.

Per gestire questa vulnerabilità è necessario garantire visibilità sugli identificatori di sicurezza (SID, Security Identifier), identificare i SID privilegiati e analizzarli per identificare le modifiche non autorizzate.

Ma che cos’hanno in comune tutte queste vulnerabilità? Nell’ordine, sono bersagli facili, sfruttano componenti legacy e sono facili da eliminare, perché basta sapere cosa cercare e dove.

3. Ricordare che gli utenti malintenzionati cercano in genere obiettivi AD specifici

In genere, gli utenti malintenzionati che attaccano un ambiente AD non usano metodi sofisticati. Sono come ladri che si aggirano in un parcheggio alla ricerca di un’auto con gli sportelli o i finestrini aperti, molto più facile da rubare.

Gli obiettivi comuni includono:

  • Sistemi legacy: i componenti più vecchi sono spesso poco utilizzati, poco monitorati e ampiamente sfruttabili.
  • Errori di configurazione dei SID:solitamente assumono la forma di SID privilegiati orfani.
  • Problemi con i criteri di sicurezza: i problemi di sicurezza dovuti agli errori di configurazione dei Criteri di gruppo sono fra gli obiettivi più comuni.

4. Utilizzare strumenti di test per scoprire le vulnerabilità

Per scoprire ed eliminare le vulnerabilità più comuni è possibile utilizzare strumenti che analizzano l’ambiente AD allo scopo di identificare eventuali indicatori di esposizione e compromissione, come Purple Knight, uno strumento gratuito per la valutazione della sicurezza di AD realizzato da un team di esperti di Semperis. Anche se l’approccio ideale è una soluzione che monitora continuativamente l’ambiente AD in cerca di exploit, utilizzando regolarmente uno strumento autonomo come Purple Knight (due volte al mese è l’ideale) è possibile identificare i problemi potenziali e ottenere una roadmap per la correzione.

La protezione di AD è un processo continuo

Strumento essenziale per la gestione di identità e accessi nella maggior parte delle aziende, AD è il pilastro della strategia di protezione dell’infrastruttura, anche se molti asset vengono spostati nel cloud. Infatti, AD è alla base dell’architettura di gestione delle identità ibride comunemente utilizzata oggi, e lo sarà ancora per molto tempo, nonostante le sue note carenze di sicurezza. Le aziende possono in ogni caso migliorare il livello di sicurezza complessivo con la revisione sistematica degli errori di configurazione di AD maggiormente sfruttati. AD è ancora uno strumento utilissimo. Dobbiamo solo capire come utilizzarlo in modo appropriato e sicuro, evitando distrazioni che possono lasciare le porte aperte ai malintenzionati.

INFORMAZIONI SULL’AUTORE

Tammy Mindel, Semperis Security Product Manager, ha lavorato nel settore della sicurezza informatica svolgendo mansioni incentrate su clienti e prodotti. Vanta una notevole esperienza in materia di sicurezza di applicazioni, infrastrutture e reti, risposta a eventi imprevisti e relative analisi forensi, procedure consigliate e standard di sicurezza.

Informazioni su Semperis
Semperis consente ai team di sicurezza incaricati di proteggere gli ambienti ibridi e multi-cloud di assicurare l’integrità e la disponibilità dei servizi critici per le directory aziendali in ogni fase della catena di annientamento delle minacce e, inoltre, riduce il tempo di ripristino del 90%. Creata appositamente per proteggere Active Directory, la tecnologia brevettata di Semperis protegge oltre 40 milioni di identità da cyberattacchi, violazioni di dati ed errori operativi. Le principali organizzazioni a livello mondiale si affidano a Semperis per rilevare vulnerabilità delle directory, intercettare i cyberattacchi in corso ed eseguire rapidamente il ripristino delle operazioni in seguito a ransomware e ad altre emergenze che compromettono l’integrità dei dati. Semperis ha sede nel New Jersey e opera a livello internazionale; il suo team di ricerca e sviluppo è distribuito tra San Francisco e Tel Aviv.

Semperis ospita la pluripremiata conferenza Hybrid Identity Protection (www.hipconf.com). L’azienda ha ricevuto i maggiori riconoscimenti del settore ed è stata recentemente inclusa al quarto posto tra le aziende in più rapida crescita dell’area dei tre stati (New York, New Jersey e Connecticut) e al trantacinquesimo posto assoluto nella classifica Technology Fast 500™ 2020 di Deloitte. Semperis è accreditata da Microsoft e riconosciuta da Gartner.

Di Tammy Mindel, Security Product Manager, Semperis

Questo si chiuderà in 20 secondi

Translate »