Account che possono favorire il furto di credenziali
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Gli attacchi di furto di credenziali sono quelli in cui un utente malintenzionato ottiene inizialmente l'accesso a un computer in una rete con i privilegi più elevati (radice, amministratore o di sistema, a seconda del sistema operativo in uso) e quindi usa liberamente gli strumenti disponibili per estrarre le credenziali dalle sessioni di altri account connessi. A seconda della configurazione di sistema, queste credenziali possono essere estratte sotto forma di hash, ticket o password non crittografate. Se una delle credenziali raccolte riguarda gli account locali che probabilmente esistono in altri computer della rete (ad esempio, account amministratore in Windows o account radice in OSX, UNIX o Linux), l'utente malintenzionato presenta le credenziali ad altri computer nella rete per propagare la compromissione ad altri computer e per tentare di ottenere le credenziali di due tipi specifici di account:
Account di dominio con privilegi elevati e completi, ovvero account con privilegi a livello di amministratore in molti computer e in Active Directory. Questi account potrebbero non essere membri di uno dei gruppi con privilegi più elevati in Active Directory, ma potrebbero avere privilegi di amministratore in molti server e workstation nel dominio o nella foresta, il che li rende tanto efficaci quanto i membri di gruppi con privilegi in Active Directory. Nella maggior parte dei casi, gli account a cui sono stati concessi elevati livelli di privilegi in un'ampia area dell'infrastruttura di Windows sono account di servizio, pertanto devono essere sempre valutati in termini di ampiezza e profondità dei privilegi.
Account di dominio "Persona molto importante" (VIP). Nel contesto di questo documento, un account VIP è qualsiasi account che abbia accesso alle informazioni che un utente malintenzionato vuole (proprietà intellettuali e altre informazioni riservate) o qualsiasi account che può essere usato per concedere all'utente malintenzionato l'accesso a tali informazioni. Esempi di questi account utente includono:
Dirigenti i cui account hanno accesso alle informazioni aziendali riservate
Account per il personale help desk responsabile della gestione dei computer e delle applicazioni usati dai dirigenti
Account per il personale legale che ha accesso ai documenti di offerte e contratti di un'organizzazione, indipendentemente dal fatto che i documenti siano destinati alla propria organizzazione o alle organizzazioni client
Progettisti di prodotti che hanno accesso a piani e specifiche per i prodotti nella pipeline di sviluppo di un'azienda, indipendentemente dal loro tipo
Ricercatori i cui account sono usati per accedere a dati di studio, formulazioni di prodotti o qualsiasi altra ricerca di interesse per un utente malintenzionato
Poiché gli account con privilegi elevati in Active Directory possono essere usati per propagare la compromissione e per modificare gli account VIP o i dati a cui possono accedere, gli account più utili per gli attacchi di furto di credenziali sono account membri dei gruppi Enterprise Admins, Domain Admins e Administrators in Active Directory.
Poiché i controller di dominio sono i repository per il database di Active Directory Domain Services e hanno accesso completo a tutti i dati in Active Directory, anche i controller di dominio sono destinati a compromissione, sia in parallelo con attacchi di furto di credenziali, sia dopo che uno o più account Active Directory con privilegi elevati sono stati compromessi. Sebbene numerose pubblicazioni (e molti utenti malintenzionati) si concentrino sulle appartenenze ai gruppi Domain Admins quando descrivono gli attacchi pass-the-hash e altri attacchi con furto di credenziali (come descritto in Riduzione della superficie di attacco di Active Directory), un account membro di uno dei gruppi elencati qui può essere usato per compromettere l'intera installazione di Active Directory Domain Services.
Nota
Per informazioni complete sugli attacchi pass-the-hash e altri attacchi di furto di credenziali, vedere il white paper Mitigazione degli attacchi pass-the-hash (PTH) e altre tecniche di furto di credenziali elencato in Appendice M: Collegamenti a documenti e letture consigliate. Per altre informazioni sugli attacchi da parte di avversari determinati, talvolta definiti come "minacce persistenti avanzate", vedere Avversari determinati e attacchi mirati.
Attività che aumentano la probabilità di compromissione
Poiché l’obiettivo del furto di credenziali è in genere un account di dominio con privilegi elevati e account VIP, è fondamentale che gli amministratori siano consapevoli delle attività che aumentano la probabilità di un successo di un attacco di furto di credenziali. Anche se gli utenti malintenzionati prendono di mira anche agli account VIP, se a questi account non viene concesso un livello elevato di privilegi sui sistemi o nel dominio, il furto di credenziali richiede altri tipi di attacchi, ad esempio attacchi di ingegneria sociale all'account VIP, per ottenere informazioni segrete. In alternativa, l'utente malintenzionato deve prima ottenere l'accesso con privilegi a un sistema in cui vengono memorizzate nella cache le credenziali VIP. Per questo motivo, le attività che aumentano la probabilità di furto di credenziali descritte qui sono incentrate principalmente sulla prevenzione dell'acquisizione di credenziali amministrative con privilegi elevati. Queste attività sono meccanismi comuni grazie ai quali gli utenti malintenzionati sono in grado di compromettere i sistemi per ottenere credenziali con privilegi.
Accesso a computer non protetti con account forniti di privilegi
La vulnerabilità principale che consente il successo degli attacchi di furto di credenziali è l'accesso a computer non sicuri con account con privilegi elevati in tutto l'ambiente. Questi accessi possono essere il risultato di varie configurazioni errate descritte qui.
Non mantenere credenziali amministrative separate
Anche se questo scenario è relativamente insolito, nella valutazione di varie installazioni di Active Directory Domain Services è stato rilevato che i dipendenti IT usano un singolo account per tutto il loro lavoro. L'account è membro di almeno uno dei gruppi con privilegi più elevati in Active Directory ed è lo stesso account usato dai dipendenti per accedere alle loro workstation al mattino, controllare l'e-mail, navigare nei siti Internet e scaricare contenuti nei computer. Quando gli utenti utilizzano account a cui sono concessi diritti e autorizzazioni di amministratore locale, espongono il computer locale a una compromissione totale. Quando questi account sono anche membri dei gruppi con privilegi più elevati in Active Directory, espongono l'intera foresta a compromissione, rendendo semplice per un utente malintenzionato ottenere il controllo completo dell'ambiente Active Directory e Windows.
Analogamente, in alcuni ambienti è stato rilevato che gli stessi nomi utente e password vengono usati per gli account radice in computer non Windows usati nell'ambiente Windows, il che consente agli utenti malintenzionati di estendere la compromissione da sistemi UNIX o Linux a sistemi Windows e viceversa.
Accessi a workstation compromesse o server membri con account con privilegi
Quando un account di dominio con privilegi elevati viene usato per accedere in modo interattivo a una workstation compromessa o a un server membro, tale computer compromesso può raccogliere le credenziali da qualsiasi account che accede al sistema.
Workstation amministrative non protette
In molte organizzazioni, il personale IT usa più account. Un account viene usato per accedere alla workstation del dipendente e, poiché si tratta di personale IT, questo account dispone spesso di diritti di amministratore locale sulle workstation. In alcuni casi, Controllo dell'account utente viene lasciato abilitato in modo che l'utente riceva almeno un token di accesso suddiviso all'accesso e debba elevare i privilegi quando questi sono necessari. Quando questi utenti eseguono attività di manutenzione, usano in genere strumenti di gestione installati in locale e forniscono le credenziali per gli account con privilegi di dominio, selezionando l'opzione Esegui come amministratore o specificando le credenziali quando richiesto. Anche se questa configurazione può sembrare appropriata, espone l'ambiente a compromissione perché:
- L'account utente "normale" usato dal dipendente per accedere alla workstation ha diritti di amministratore locale, il computer è vulnerabile agli attacchi di download drive-by in cui l'utente viene indotto a installare malware.
- Il malware viene installato nel contesto di un account amministrativo, il computer può ora essere usato per acquisire sequenze di tasti, contenuti degli Appunti, screenshot e credenziali residenti in memoria e ciascuno di questi elementi può comportare l'esposizione delle credenziali di un account di dominio con privilegi elevati.
I problemi in questo scenario sono duplici. Prima di tutto, anche se vengono usati account separati per l'amministrazione locale e di dominio, il computer non è protetto e non protegge gli account contro il furto. In secondo luogo, all'account utente normale e all'account amministrativo sono stati concessi diritti e autorizzazioni eccessivi.
Esplorazione di Internet con un account fornito di privilegi elevati
Gli utenti che accedono ai computer con account membri del gruppo Administrators locale nel computer o membri di gruppi con privilegi in Active Directory e che quindi navigano in Internet (o in una intranet compromessa) espongono il computer locale e la directory a compromissioni.
L'accesso a un sito Web creato in modo dannoso con un browser in esecuzione con privilegi amministrativi può consentire a un utente malintenzionato di depositare codice dannoso nel computer locale nel contesto dell'utente con privilegi. Se l'utente ha diritti di amministratore locale sul computer, gli utenti malintenzionati possono ingannare l'utente e indurlo a scaricare codice dannoso o aprire allegati e-mail che sfruttano le vulnerabilità dell'applicazione, oltre a sfruttare i privilegi dell'utente per estrarre le credenziali memorizzate nella cache locale per tutti gli utenti attivi nel computer. Se l'utente dispone di diritti amministrativi nella directory in base all'appartenenza ai gruppi Enterprise Admins, Domain Admins o Administrators in Active Directory, l'utente malintenzionato può estrarre le credenziali di dominio e usarle per compromettere l'intero dominio o la foresta di Active Directory Domain Services, senza dover compromettere altri computer nella foresta.
Configurazione di account con privilegi locali con le stesse credenziali all’interno dei sistemi
La configurazione dello stesso nome dell'account amministratore locale e della stessa password in molti o tutti i computer consente di utilizzare le credenziali rubate dal database SAM in un computer per compromettere tutti gli altri computer che usano le stesse credenziali. È consigliabile usare almeno password diverse per gli account amministratore locali in ogni sistema aggiunto al dominio. Gli account amministratore locale possono anche essere denominati in modo univoco, ma l'uso di password diverse per gli account locali con privilegi di ogni sistema è sufficiente per garantire che le credenziali non possano essere usate in altri sistemi.
Sovrappopolazione e uso eccessivo dei gruppi di domini forniti di privilegi
La concessione dell'appartenenza ai gruppi EA, DA o BA in un dominio crea una destinazione per gli utenti malintenzionati. Maggiore è il numero di membri di questi gruppi, maggiore è la probabilità che un utente con privilegi usi inavvertitamente le credenziali e li esponga agli attacchi di furto di credenziali. Ogni workstation o server a cui accede un utente di dominio con privilegi presenta un possibile meccanismo mediante il quale le credenziali dell'utente con privilegi possono essere raccolte e usate per compromettere il dominio e la foresta di Active Directory Domain Services.
Controller di dominio con sicurezza scarsa
I controller di dominio ospitano una replica del database di Active Directory Domain Services di un dominio. Nel caso dei controller di dominio di sola lettura, la replica locale del database contiene le credenziali solo per un subset degli account nella directory, nessuno dei quali è account di dominio con privilegi per impostazione predefinita. Nei controller di dominio di lettura/scrittura, ogni controller di dominio gestisce una replica completa del database di Active Directory Domain Services, incluse le credenziali non solo per gli utenti con privilegi come Domain Admins, ma anche gli account con privilegi come account controller di dominio o l'account Krbtgt del dominio, ovvero l'account associato al servizio KDC nei controller di dominio. Se le applicazioni aggiuntive non necessarie per la funzionalità del controller di dominio vengono installate nei controller di dominio o se i controller non sono rigorosamente patch e protetti, gli utenti malintenzionati possono comprometterli tramite vulnerabilità senza patch oppure possono sfruttare altri vettori di attacco per installare software dannoso direttamente su di essi.
Elevazione e propagazione dei privilegi
Indipendentemente dai metodi di attacco usati, Active Directory è sempre un bersaglio quando un ambiente Windows viene attaccato, perché a conti fatti controlla l'accesso a qualsiasi elemento desiderato dagli utenti malintenzionati. Ciò non significa tuttavia che si stia puntando all'intera directory. Account, server e componenti dell'infrastruttura specifici sono in genere gli obiettivi principali degli attacchi contro Active Directory. Questi account sono descritti di seguito.
Account con privilegi permanenti
Con l'introduzione di Active Directory, è stato possibile usare account con privilegi elevati per creare la foresta di Active Directory e quindi delegare diritti e autorizzazioni necessari per eseguire l'amministrazione quotidiana agli account con privilegi inferiori. L'appartenenza ai gruppi Enterprise Admins, Domain Admins o Administrators in Active Directory è necessaria solo temporaneamente e raramente in un ambiente che implementa approcci con privilegi minimi all'amministrazione quotidiana.
Gli account con privilegi permanenti sono account che sono stati inseriti in gruppi con privilegi e che sono sempre rimasti lì. Se l'organizzazione inserisce cinque account nel gruppo Domain Admins per un dominio, questi cinque account saranno dei bersagli 24 ore al giorno, sette giorni alla settimana. Tuttavia, la necessità effettiva di usare gli account con privilegi di amministratore di dominio è in genere legata solo a una configurazione specifica a livello di dominio e per brevi periodi di tempo.
Account VIP
Un bersaglio spesso trascurato nelle violazioni di Active Directory sono gli account di "persone molto importanti" (o VIP) in un'organizzazione. Gli account con privilegi sono mirati perché questi account possono concedere l'accesso agli utenti malintenzionati, cosa che consente loro di compromettere o persino distruggere i sistemi mirati, come descritto in precedenza in questa sezione.
Account Active Directory "associati ai privilegi"
Gli account Active Directory associati ai privilegi sono account di dominio che non sono stati resi membri di uno dei gruppi con i livelli di privilegi più elevati in Active Directory, ma a cui sono stati invece concessi elevati livelli di privilegi in molti server e workstation nell'ambiente. Questi account sono spesso basati su dominio e configurati per l'esecuzione di servizi in sistemi aggiunti a un dominio, in genere per le applicazioni in esecuzione in grandi sezioni dell'infrastruttura. Anche se questi account non dispongono di privilegi in Active Directory, se vengono concessi privilegi elevati per un numero elevato di sistemi, possono essere usati per compromettere o persino distruggere segmenti di grandi dimensioni dell'infrastruttura, ottenendo lo stesso effetto della compromissione di un account Active Directory con privilegi.