Active Directory (AD) è un servizio di directory sviluppato da Microsoft per le reti di dominio Windows. Fornisce alle aziende un sistema centralizzato per la gestione di:
-
• utenti
-
• computer
-
• gruppi
-
• altre risorse di rete.
In sostanza, Active Directory, memorizza informazioni e impostazioni in una struttura di database gerarchica, consentendo agli amministratori di organizzare e gestire efficientemente le risorse di rete. Active Directory è un servizio di gestione delle identità, si potrebbe paragonare ad un elenco telefonico per Windows.
AD vantaggi e rischi per le organizzazioni
Active Directory semplifica l'amministrazione e l'accesso alle informazioni all'interno di un'organizzazione in modo rapido e semplice, ma può anche presentare rischi per la sicurezza. Oltre il 90% delle aziende Fortune 500 utilizza Active Directory, conferendogli la quota di mercato più alta di qualsiasi altro servizio di dominio.
Il sistema proprietario progettato da Microsoft spesso presenta vulnerabilità che gli attaccanti possono sfruttare. Questi attacchi possono essere particolarmente pericolosi poiché la rete interna è spesso il luogo in cui sono memorizzate le informazioni più sensibili.
All'interno di Active Directory, i domini interni possono diventare rapidamente estremamente complicati. Questo è sia un vantaggio che uno svantaggio per le aziende. La capacità per gli amministratori di sistema di configurare qualsiasi cosa secondo le loro esigenze esatte può semplificare molto il lavoro all'interno dell'azienda.Il problema qui è che senza le configurazioni adeguate, può essere facile per gli attaccanti abusare delle normali funzionalità di AD per ottenere livelli di accesso pericolosi.
Importanza dei penetration test per la mitigazione
L'hacking è spesso considerato come i cattivi che sfruttano software scritti male per accedere alle informazioni, ma questo non è sempre il caso. Quando si esamina una rete interna, la via più probabile di attacco sarà dovuta da una semplice configurazione errata. Alcune funzionalità previste di AD possono offrire agli attaccanti percorsi facili attraverso la rete. NGsecurity può aiutarti a identificare questi percorsi con un Test di Penetrazione Interna.
Un buon esempio di ciò, è il protocollo Kerberos. Kerberos consente agli utenti di richiedere in modo sicuro l'accesso a determinate risorse nel dominio. L'implementazione precedente coinvolgeva gli utenti nel passaggio delle proprie credenziali attraverso il dominio, che potevano essere intercettate dagli hacker. Kerberos risolve questo problema, ma è davvero cosi sicuro?.
Come Funziona Kerberos
Quando l'autenticazione avviene all'interno di Active Directory, avviene con Kerberos e i "Ticket" di Kerberos. Sebbene non tutte le funzionalità di Active Directory (AD) siano intrinsecamente vulnerabili, è cruciale riconoscere i rischi potenziali associati a diversi aspetti della sua funzionalità, ciò significa che tutte le funzionalità in Active Directory sono esposte ad attacchi da parte di Hacker Malintenzionati.
I rischi significativi (se configurati in maniera impropria), riguardano:
-
• Trust del dominio
-
• Group Policy
-
• LDAP
-
• Autenticazione Kerberos
-
• Account del servizio
-
• Servizi di federazione di Active Directory (AD FS)
-
• Protocollo Desktop remoto (RDP)
-
• Appartenenza al gruppo non limitate
Le relazioni di trust gestite in modo improprio, le policy di gruppo mal configurate, le connessioni LDAP non sicure, i meccanismi di autenticazione deboli, gli account di servizio non adeguatamente protetti, le vulnerabilità nelle implementazioni di AD FS, l'accesso RDP non protetto e le appartenenze al gruppo non limitate, se mal configurate possono essere sfruttate da attori malevoli.
Pertanto, le organizzazioni dovrebbero implementare misure di sicurezza robuste, e valutare regolarmente la propria infrastruttura di Active Directory (Penetration Test) per mitigare le minacce potenziali. Il testing di penetrazione interno comporta di essere all'interno di una rete e guardare fuori, mentre il testing di penetrazione esterno comporta di essere all'esterno del Network, e guardare dentro.
In Active Directory, molte funzionalità note presentano vulnerabilità.
Come funziona un penetration test di AD
Nel testing di penetrazione della rete interna, gli Ethickal Hacker eseguono vari attacchi su Active Directory,
alcuni dei più comuni sono:
1. Vettori iniziali di attacco di AD
-
• LLMNR Poisoning: Questo può essere considerato un vettore di attacco iniziale poiché mira alle debolezze nei protocolli di risoluzione dei nomi di rete
-
• Cattura di hash con Responder: Questo rientra anche nel vettore di attacco iniziale poiché coinvolge l'intercettazione dei tentativi di autenticazione per catturare le credenziali.
-
• Attacco SMBRelay: un vettore di attacco iniziale che sfrutta le debolezze nel protocollo SMB per il furto di credenziali.
-
• Attacchi IPv6 per il DNS Takeover tramite MITM6: Rientra nel vettore di attacco iniziale poiché mira alla risoluzione DNS per gli attacchi man-in-the-middle.
-
• Password Spraying: questo è un vettore di attacco iniziale in cui vengono provate password comuni contro molti account per ottenere accesso iniziale.
2. Enumerazione dopo la compromissione
-
• Dumping delle credenziali: Questa è più una azione post-compromissione in cui gli aggressori estraggono le credenziali dai sistemi compromessi.
-
• Enumerazione del dominio: si usano tools quali, LDAPDomainDump, Bloodhound, Plumhound, Ping Castle. Questi strumenti vengono utilizzati dopo la compromissione per la ricognizione all'interno dell'ambiente di Active Directory.
3. Attacchi dopo la Compromissione
-
• Dumping e Crack di Hash: dove gli attaccanti estraggono gli hash delle password e cercano di craccarli.
-
• Attacco di Kerberoasting: attacco dopo la compromissione che mira ai "Ticket" di servizio Kerberos deboli.
-
• Attacco di Impersonificazione del Token: attacco dopo la compromissione in cui gli attaccanti impersonano i token degli utenti per ottenere privilegi elevati.
-
• Attacchi ai File LNK e Attacchi CPassword: Queste sono tecniche specifiche, ma possono rientrare negli attacchi dopo la compromissione in quanto coinvolgono lo sfruttamento di vulnerabilità o errate configurazioni nell'ambiente AD.
-
• Dumping delle Credenziali con Mimikatz, Pass-the-Hash con Mimikatz: Queste sono azioni dopo la compromissione che coinvolgono l'uso dello strumento Mimikatz per l'estrazione e lo sfruttamento delle credenziali.
4. Attacchi di Post Esploitation.
-
• Escalation dei Privilegi: Sfruttare vulnerabilità o configurazioni errate per elevare i privilegi all'interno del sistema, consentendo all'attaccante di accedere a risorse ristrette o eseguire azioni riservate agli utenti privilegiati.
-
• Trasferimento di File: Trasferire file tra sistemi per esfiltrare dati sensibili, installare malware o eseguire script malevoli su macchine remote.
-
• Persistenza o Mantenimento dell'Accesso: Implementare tecniche per garantire un accesso continuo al sistema compromesso anche dopo l'exploit iniziale, come creare backdoor, modificare impostazioni di sistema o installare malware ti tipo persistente.
-
• Pivotaggio o Movimento Laterale: Espandere la portata dell'attacco muovendosi lateralmente attraverso la rete, compromettendo sistemi o risorse aggiuntive per infiltrare ulteriormente l'infrastruttura dell'organizzazione.
-
• Pulizia: Coprire le tracce e rimuovere evidenze dell'attacco per eludere la rilevazione da parte delle misure di sicurezza, come eliminare registri, cancellare prove forensi o ripristinare configurazioni di sistema modificate al loro stato originale.
Per restare al passo con le ultime novità nel mondo della sicurezza informatica, continua a seguire il nostro canale YouTube. Siamo qui per aiutarti a proteggere la tua rete dagli attacchi e a garantire la sicurezza dei tuoi dati. Contattaci per approfondimenti e consulenza su misura riguardo all'implementazione e alla sicurezza di Active Directory.