Active Directory (AD) è diventato un obiettivo primario per gli attaccanti che lanciano attacchi incentrati sull’identità. Fortunatamente, sono disponibili diversi strumenti che aiutano i team di sicurezza aziendale a ottenere una visibilità più chiara sulle proprie istanze di Active Directory e a risolvere eventuali vulnerabilità individuate.
Uno strumento popolare utilizzato dagli analisti sono i grafici Attack Path, che possono essere utilizzati per mostrare i possibili percorsi che un attaccante può seguire per passare da un utente standard fino a un account altamente privilegiato, come un prezioso Domain Admin.
Sebbene questo tipo di visualizzazione possa essere utile, non sostituisce uno strumento di valutazione Active Directory che non solo chiude le vulnerabilità ma incoraggia anche le best practice. Per illustrare la differenza, in questo post confronteremo entrambi gli approcci attraverso due scenari esemplificativi che rappresentano situazioni comuni riscontrate in ambito aziendale.
Case Study: Escalation di privilegi di base
Nel primo scenario, analizzeremo un semplice Attack Path e lo confronteremo con i risultati di una valutazione della sicurezza AD per lo stesso problema.
Nel nostro primo esempio, un utente standard compromesso ‘Bob’ risulta essere membro di un gruppo Engineering più ampio, che a sua volta è un sottoinsieme di un gruppo CAD Tools. A causa di una configurazione e separazione dei privilegi inadeguata, questo gruppo è anche membro di un gruppo Service Installers, che a sua volta è membro del gruppo Domain Admins.
Chiaramente, anche se Bob dovrebbe avere solo privilegi di utente standard, questa serie annidata di relazioni consente a un attaccante che compromette l’account di Bob di ottenere i diritti di Domain Admin.
A questo punto, vediamo quale contesto può fornire uno strumento di valutazione della sicurezza AD in una situazione come questa e come gli amministratori potrebbero utilizzare queste informazioni per mitigare il problema e prevenirne il ripetersi.
Uno strumento di valutazione della sicurezza AD fornirà:
- Un elenco di tutti gli utenti che hanno accesso privilegiato. Questo includerebbe tutti i membri dei gruppi annidati di tutti i gruppi privilegiati.
- Un elenco dei gruppi annidati all’interno del gruppo privilegiato da rimuovere. Questo è il percorso rapido che l’amministratore deve seguire per mitigare il problema.
- La best practice di non annidare gruppi all’interno di gruppi privilegiati. Questo elimina i punti di strozzatura rendendo più difficile che ai membri vengano concessi privilegi non intenzionali. Questa è la linea guida che l’amministratore deve seguire per prevenire il problema.
Il secondo e il terzo punto sono i più critici. Se semplicemente rimuovessimo il gruppo Service Installers dal gruppo Domain Admins (insieme ad altri eventualmente annidati), l’account utente standard compromesso non sarebbe più un Domain Admin. Affrontando la vulnerabilità e seguendo le best practice, gli amministratori non dovrebbero più esaminare i grafici e determinare dove eliminare le appartenenze ai gruppi, rendendo di fatto il grafico irrilevante.
Case Study: Cracking delle credenziali
Analizziamo un altro semplice Attack Path.
Nell’attack path sopra, il computer di un utente (COMPUTER 1) è stato compromesso. Da lì, un attaccante riesce a decifrare le credenziali dell’account amministratore locale del computer. L’attaccante quindi utilizza la password dell’account amministratore locale per accedere a un altro computer (COMPUTER 2), che era stato (mal)configurato per facilitare l’amministrazione con le stesse credenziali. Su COMPUTER2, l’attaccante decifra l’hash dell’account Domain Admin, elevando con successo i propri privilegi.
Uno strumento di valutazione della sicurezza Active Directory può mitigare rapidamente questo rischio fornendo le seguenti informazioni a un analista:
- LAPS (Local Administrator Password Solution) non è stato rilevato come configurato in Active Directory. Se fosse stato presente, avrebbe impedito all’attaccante di spostarsi da COMPUTER1 a COMPUTER2 utilizzando la stessa password dell’amministratore locale. Assicurarsi che ogni account amministratore locale abbia una password diversa e rotante è una best practice. LAPS soddisfa questa esigenza.
- Un account Domain Admin aveva effettuato l’accesso a una workstation in passato, lasciando un hash che l’attaccante potrebbe utilizzare. La best practice raccomandata qui è di utilizzare gli account Domain Admin solo per accedere ai domain controller e di cancellare tutti gli hash su workstation e member server.
Seguendo i passaggi di mitigazione e le raccomandazioni di best practice di uno strumento di valutazione della sicurezza AD, un amministratore può eliminare il potenziale Attack Path di un attaccante e impedirgli di sfruttare queste configurazioni errate e vulnerabilità.
Rischi Active Directory che gli Attack Path non rilevano
Gli Attack Path sono progettati per mostrare attacchi noti, mentre la chiusura delle vulnerabilità elimina sia questi che, spesso, anche vettori sconosciuti. Di conseguenza, è più importante eliminare le vulnerabilità e seguire le best practice.
Le immagini che gli Attack Path rappresentano sono una rappresentazione incompleta della reale situazione di sicurezza di Active Directory. I grafici che mostrano come l’organizzazione potrebbe essere vulnerabile non sono efficaci quanto gli strumenti che possono garantire che l’infrastruttura AD non sia esposta né lo sarà in futuro.
Di seguito alcuni esempi di attacchi che non sarebbero adatti a grafici Attack Path elaborati, ma che è fondamentale che una valutazione della sicurezza AD rilevi.
- Attacchi brute force alle password – Una valutazione dovrebbe rilevare credenziali che utilizzano password comunemente note, parole del dizionario o tentativi di inserire ogni possibile combinazione di caratteri fino a quando una password viene “indovinata”.
- Esposizioni di delega unconstrained – Quando un oggetto utente o computer AD è stato delegato a qualsiasi servizio tramite Kerberos. Se compromesso, ciò può consentire all’attaccante di impersonare l’account autenticato verso qualsiasi servizio.
- Proteggere Active Directory dagli attacchi AdminSDHolder – Aggiunta di utenti o gruppi al template AdminSDHolder in Active Directory che viene “applicato” a ogni ACL di utente e gruppo privilegiato, conferendo loro diritti su tali account.
Singularity™ Identity Posture Management esegue la scansione dell’ambiente Active Directory alla ricerca di vulnerabilità come queste e molte altre, guidando gli amministratori su come mitigarle e garantendo le best practice per prevenirle in futuro.
Ridurre il rischio di identità in tutta l'organizzazione
Rilevate e rispondete agli attacchi in tempo reale con soluzioni olistiche per Active Directory ed Entra ID.
Richiedi una demoConclusione
Sebbene gli Attack Path siano grafici interessanti che possono aiutare gli amministratori a comprendere come possano avvenire potenziali attacchi sulla rete, non sostituiscono un approccio proattivo che elimina le vulnerabilità note e applica le best practice. Singularity Identity Posture Management individua le vulnerabilità e guida gli amministratori a chiuderle e mantenerle chiuse.
Domande frequenti sulla valutazione della sicurezza di Active Directory
Una valutazione della sicurezza di AD è una revisione dettagliata della configurazione del dominio, delle autorizzazioni, delle group policy e delle impostazioni degli account per individuare le debolezze. Analizza la struttura di utenti, computer e gruppi, verifica diritti impropri o oggetti obsoleti e simula scenari di attacco. I risultati possono essere utilizzati per rafforzare AD prima che gli attaccanti sfruttino le vulnerabilità.
Una valutazione della sicurezza di AD mira a individuare configurazioni errate e privilegi rischiosi che potrebbero consentire agli attaccanti di muoversi lateralmente, aumentare i privilegi o sottrarre credenziali. Mappando le relazioni di trust, valutando gli ACL e testando i percorsi di attacco, è possibile dare priorità alle correzioni e ridurre la superficie di attacco dell'organizzazione prima che emergano minacce reali.
I grafici dei percorsi di attacco visualizzano i percorsi potenziali che un attaccante potrebbe seguire in AD in base alle autorizzazioni attuali. Una valutazione della sicurezza di AD va oltre: esegue audit delle impostazioni di configurazione, verifica la conformità ai baseline di sicurezza e testa quei percorsi nella pratica. Combina analisi statica e test pratici per validare quali percorsi di attacco sono effettivamente sfruttabili.
La semplice visualizzazione dei possibili percorsi di attacco non indica se controlli come ACE “deny” o avvisi di monitoraggio li bloccano. Una valutazione AD testa le configurazioni nell'ambiente reale, segnala impostazioni deprecate e verifica quali percorsi funzionano realmente.
Questa prova pratica aiuta a concentrarsi sui cambiamenti che fermeranno gli exploit reali invece di inseguire ogni rischio teorico.
In un caso, una valutazione ha individuato un account di servizio dimenticato con privilegi di domain-admin collegato tramite un ACL obsoleto. Rimuovere quel collegamento ha impedito a un attaccante di effettuare un pivot. In un altro caso, i controlli di audit hanno rilevato gruppi annidati che concedevano ampi diritti a fornitori esterni—la rimozione di tali appartenenze ha chiuso percorsi di escalation dei privilegi che un avversario aveva pianificato di sfruttare.
Le valutazioni AD individuano ACL troppo permissivi, deleghe non vincolate, account obsoleti o con privilegi elevati, ticket di servizio esposti, impostazioni Kerberos deboli e lacune nella sicurezza delle group policy. Rilevano anche la mancanza di gestione delle patch sui domain controller, configurazioni LDAPS/TLS deboli e collegamenti di replica non monitorati che gli attaccanti spesso sfruttano per accessi furtivi.
Gli strumenti di valutazione possono estrarre credenziali hashate da LSASS, simulare Kerberoasting per richiedere ticket di servizio e testare chiavi Kerberos deboli. Evidenziano quali account utilizzano crittografia reversibile o non dispongono di service principal rafforzati. Identificando questi target, è possibile reimpostare le password, richiedere crittografia più forte e bloccare le richieste di ticket che alimentano il cracking offline.
AD è centrale per il modello di trust della rete—se compromesso, gli attaccanti ottengono ampio accesso. La visibilità su ogni ACL, impostazione di delega e configurazione dei domain controller mostra dove potrebbero verificarsi escalation dei privilegi o movimenti laterali. Senza questa visione chiara, si rischia di sottovalutare i rischi e di non individuare percorsi di attacco nascosti fino a quando non è troppo tardi.
Si dovrebbero eseguire valutazioni complete della sicurezza AD almeno trimestralmente o dopo cambiamenti importanti come migrazioni, upgrade dei domain controller o fusioni. Nel frattempo, controllare mensilmente le aree chiave—appartenenze ai gruppi privilegiati, modifiche alle GPO e log di audit. Una cadenza regolare aiuta a individuare nuove configurazioni errate prima che lo facciano gli attaccanti.
Aggiorna regolarmente i dati sulle vulnerabilità e utilizza strumenti avanzati di automazione della sicurezza. Abilita il monitoraggio continuo delle minacce, il monitoraggio basato su grafi e identifica e dai priorità agli asset più critici. Utilizza framework di threat intelligence e migliora la visibilità negli ambienti multi-cloud utilizzando le soluzioni di sicurezza basate su AI di SentinelOne’.
