Active Directory (AD), Microsoftova lokalna usluga direktorija za Windows domenske mreže, toliko se široko koristi za upravljanje identitetom i pristupom preduzeća da je njegovo ugrožavanje postalo gotovo standardni korak u sajber upadima.
“Active Directory je podložan kompromisu zbog svojih dopuštenih zadanih postavki, složenih odnosa i dozvola; podrška za naslijeđene protokole i nedostatak alata za dijagnosticiranje sigurnosnih problema Active Directory“, pojasnile su agencije za cyber sigurnost Five Eyes u nedavno objavljenom vodiču za otkrivanje i ublažavanje AD kompromisa.
„Sticanje kontrole nad aktivnim direktorijumom može omogućiti maliciozni hakeri s nizom namjera, bilo da se radi o cyber kriminalcima koji traže finansijsku dobit ili o nacionalnim državama koje provode cyber špijunažu, da dobiju pristup koji im je potreban za postizanje svojih malicioznih ciljeva u mreži žrtve.
Microsoft AD napadi, ublažavanje i otkrivanje
Active Directory pruža nekoliko usluga:
- Domain Services (AD DS) – autentikacija i autorizacija, provođenje sigurnosnih politika
- Federacijske usluge (AD FS) – federalno upravljanje identitetom i pristupom
- Usluge certifikata (AD CS) – izdavanje/upravljanje infrastrukturnim certifikatima javnog ključa (npr. za sigurnu komunikaciju)
- Lightweight Directory Services (AD LDS) – servisi direktorija za aplikacije
- Usluge upravljanja pravima (AD RMS) – upravljanje pravima nad informacijama
“Za mnoge organizacije, Active Directory se sastoji od hiljada objekata koji međusobno komuniciraju preko složenog skupa dozvola, konfiguracija i odnosa. Razumijevanje dozvola za objekte i relacija između tih objekata ključno je za osiguranje Active Directory okruženja”, napomenule su agencije i navele neke alate koji se mogu koristiti u tom cilju.
Napadači koriste Active Directory za eskalaciju privilegija, izviđanje, bočno pomicanje i upornost, korištenjem širokog spektra tehnika kao što su kerberoasting, prskanje lozinki, kompromis MachineAccountQuota, zlatni certifikat, kompromis Microsoft Entra Connect i mnoge druge.
Svaki od njih je objašnjen u vodiču, praćen listom sigurnosnih kontrola koje ih mogu ublažiti i listom evidentiranih događaja koji bi mogli ukazivati na kompromis.
Ali „jer mnogi kompromisi Active Directory-a iskorištavaju legitimnu funkcionalnost i generišu iste događaje koji se generišu normalnom aktivnošću“, agencije takođe preporučuju korištenje kanarinskih objekata.
“Izbacivanje najodlučnijih malicioznih hakera može zahtijevati drastične radnje, u rasponu od resrtovanje svih korisničkih lozinki do ponovnog sastavljanja samog Active Directory-ja. Reagiranje na maliciozne aktivnosti koje uključuju kompromis Active Directory i oporavak od njih često oduzima mnogo vremena, skupo je i ometajuće. Stoga se organizacije ohrabruju da implementiraju preporuke u ovom uputstvu kako bi bolje zaštitile Active Directory od malicioznih hakera i spriječile ih da ga kompromituju“, zaključili su.
Izvor:Help Net Security