L’idea di un comodo punto di raccolta di numerose e preziose informazioni su utenti, hardware, applicazioni e dati di una rete aziendale era troppo allettante per illudere anche il più ingenuo ottimista che gli hacker non sarebbero arrivati a prenderlo di mira sfoderando tutta la loro comprovata abilità per violarlo e utilizzarlo per monetizzare. È l’Active Directory, un cyber trend arrivato in Italia da oltreoceano, noto da mesi nel settore della sicurezza informatica e che l’allarme recentemente lanciato dagli esperti del CSIRT-Italia rende ancora più concreto e temibile. Il team istituito presso l’Agenzia per la cybersicurezza nazionale ha svelato infatti la pubblicazione di un Proof of Concept (PoC) su come sfruttare due vulnerabilità relative a Microsoft Active Directory stimando l’impatto delle falle sulla comunità di riferimento come grave, “in rosso” soprattutto in relazione al rischio di Privilege Escalation.
Active Directory, ancora cruciale per le aziende, sempre più invitante per gli hacker
Al di là del colore associato dagli esperti a questo nuovo segnale di pericolosità, è importante comprendere il ruolo dell’Active Directory (AD) nell’attuale struttura operativa di numerose aziende, dato che quasi la totalità lo utilizza e in modo così significativo da non potersene disfare in poco tempo come si trattasse di un accessorio.
Active Directory è un framework di Microsoft, rappresenta un singolo riferimento a tutti gli oggetti nella rete e custodisce un database contenente i dati di accesso degli utenti, i loro permessi e tutte le informazioni di autorizzazione e autenticazione richieste per assicurare che solo i soggetti autorizzati accedano ad alcune risorse di rete.
Questo strumento è da decenni un importante alleato per le aziende quando si trovano a dover gestire l’autenticazione degli utenti e possono con AD permettere loro di collegarsi tramite un unico accesso a tutte le risorse, applicazioni e dati.
Tra i vantaggi più evidenti di questo framework la scalabilità e la compatibilità ma anche lo standard aperto e la sempre più preziosa capacità di consentire a tutti gli utenti, a prescindere dal luogo fisico da cui si collegano alla rete, di accedere ad un database aggiornato. L’altra faccia della medaglia è ben fotografata dai threat hunter di Mandiant: il 90% delle richieste di risposta agli eventi da loro condotte coinvolgono l’AD, o nel ruolo di vettore di attacco iniziale o come mezzo per ottenere persistenza o privilegi.
Quando si ha una violazione all’AD, quindi, non la si può liquidare come un qualunque servizio da recuperare perché se è compromessa, lo è anche tutto l’ambiente: ottenute le chiavi del regno, compresi i server che ospitano i dati dei clienti e altre risorse sensibili, gli hacker hanno tutto ciò che serve per innescare un effetto a catena dai danni catastrofici.
Grazie ad alcuni casi di cybercrime clamorosi, tra cui anche quello di SolarWinds, in cui l’AD ha giocato un ruolo chiave, le aziende stanno sviluppando una maggiore sensibilità nei confronti di questo loro tallone d’Achille trascurato finora. L’86% sta aumentando gli investimenti per proteggerlo, un dato riportato nel rapporto “The Rise of Active Directory Exploits: Is It Time to Sound the Alarm?” realizzato da Enterprise Management Associates particolarmente importante per chi si occupa di cybersecurity e che, senza la consapevolezza delle potenziali vittime, spesso ha poco spazio per mitigare i rischi anche se noti.
Più sicurezza sull’identità, identità al centro della sicurezza
Adottando il punto di vista degli hacker, il modo migliore per provare a contrastarli, una volta compresa l’importanza dell’AD, il primo banale ma spesso vincente passo da compiere è quello di andare a caccia delle sue vulnerabilità. Molte derivano da errori di configurazione, le altre si nascondono nei protocolli incorporati nel sistema operativo Windows e nella stessa AD, ma i criminali soprattutto negli ultimi anni hanno affinato le proprie strategie andando oltre e mettendo in campo anche tecniche APT (Advanced Persistent Threat) per svolgere attività di ricognizione e intensificare i furti di credenziali così da poi diffondere il malware nell’ambiente di destinazione.
Tornando nei panni delle aziende, la quasi totalità è stata colta da questi attacchi mentre ancora aveva un piano di ripristino di AD sostanzialmente incentrato su eventi come calamità naturali, guasti della rete elettrica o errori amministrativi. La totale inadeguatezza di questo tipo di strategia per far fronte all’eventualità che un ransomware interrompa ogni attività in ambito IT ha aperto la strada ai criminali che hanno agito prontamente ottimizzando questa opportunità, consapevoli anche che un cambio di mindset e di piano di difesa non sarebbe mai stato immediato.
Oggi, infatti, anche in aziende di modeste dimensioni AD, è molto più complicato: ogni ambiente ha tanti diversi livelli di autorizzazioni complesse e serve tempo. Non solo, serve anche un mix di competenze oggi raro da trovare e se la lancetta dell’orologio non si può bloccare, è su questo secondo fattore che è necessario agire e investire se non si vuole stare a guardare hacker approfittare di AD per afferrare le chiavi del proprio regno per poi saccheggiarlo.
Non mancano skill relative a AD e nemmeno a Red Teaming e cyber crime, ma la loro combinazione in una sola persona. La soluzione non può essere che la cooperazione dei team che si occupano di sicurezza e di identità per garantire l’accesso utente sicuro: da un lato gli esperti di AD dovranno assumere un ruolo più attivo nei dibattiti inerenti alla sicurezza e dall’altro gli specialisti di cybersecurity dovranno aumentare il loro potere di visibilità della superficie di attacco dell’AD per sviluppare un piano collaudato e rispondere ad un attacco rilevato in real time grazie a nuovi tool che “notano” gli aggressori nel momento in cui cercano di ottenere l’accesso agli account privilegiati e creare backdoors.
Nell’era del cloud computing e dello smart working, questa collaborazione diventa ancora più urgente perché i confini del tradizionale perimetro di rete sono diventati meno marcati e l’unico punto di controllo tra utenti, azioni e risorse di rete è di fatto l’identità dell’utente.
Focus su accessi, password e privilegi per una strategia AD-centric by design
Molti dei problemi che oggi ci si trova ad affrontare per migliorare la sicurezza di AD nascono da errori compiuti anche oltre 15 anni fa quando l’igiene informatica di questo framework non era percepita come prioritaria. All’origine di quasi tutte le violazioni c’è l’impiego di credenziali rubate, a volte per effettuare il primo accesso, a volte per raggiungere in un secondo momento i sistemi critici. In ogni caso i danni sono enormi ed è necessario implementare una protezione avanzata iniziando dalla gestione dei comuni errori di configurazione che aprono le porte alle compromissioni tra cui quelli legati al processo di autenticazione.
Spesso, per non caricare di lavoro amministratori già oberati di lavoro, ad esempio, si abilitano accessi anonimi ad AD senza controlli di mitigazione, portando ad un forte peggioramento del profilo di rischio dell’organizzazione. Un altro tasto debole sono le password spesso deboli, senza scadenza o del tutto assenti, che rendono necessari dei criteri stabiliti a priori a livello aziendale con l’obbligo di una rotazione periodica per lasciare poco tempo agli hacker per impadronirsene.
Il desiderio di favorire la produttività e l’agilità dell’azienda è alla base anche di un altro “errore” che apre falle di sicurezza in AD, l’eccesso di autorizzazioni concesse. Applicare il principio del privilegio minimo (PoLP) richiede tempo e competenze e si finisce per abbondare in modo da non rallentare il business, per giunta dimenticandosi di revocare tali permessi anche per anni. L’abilità degli hacker nell’approfittare di questi atti di distrazione che ampliano significativamente la superficie di attacco è sempre più affinata e, in ambienti AD sempre più complessi, risalire ad errori commessi nel passato da precedenti team è molto difficile e mai immediato.
Ad oggi la miglior difesa contro l’abuso dei privilegi è la continua verifica delle autorizzazioni associata al monitoraggio delle attività sospette, prevedendo controlli efficaci che isolino e proteggano le credenziali con privilegi sia attraverso check multi-livello sia con Privileged Access Workstation (PAW) che isolano le attività eseguite da un amministratore nelle workstation di utilizzo quotidiano in una altamente sicura, proteggendo le credenziali e la sessione da vettori di attacco. Tra questi ultimi ci sono sicuramente le e-mail, dato le campagne di phishing rivolte agli utenti finali sempre più sofisticate e convincenti messe in atto per ottenere credenziali valide e/o infiltrare malware negli endpoint.
Da questo punto di vista serve un approccio a più livelli – formazione, simulazioni e valutazione del rischio – che includa anche algoritmi di machine learning e altri strumenti di rilevamento avanzato a supporto dei classici antispam e antivirus per individuare e bloccare i messaggi di phishing e gli allegati sospetti.
Non solo in questo specifico frangente ma in generale, i tradizionali strumenti di monitoraggio e protezione sono evidentemente inadatti perché mai Active Directory-centrici by design. Sono stati sviluppati quando tale allarme non c’era e non li si può adattare in modo efficace per far fronte agli attacchi più sofisticati all’identità a cui già si assiste a livello globale. Servono misure specifiche difficili da ritrovare in un panorama di cybersecurity orientato ai rischi del new normal legati al cloud, si apre quindi un gap che potrebbe lasciare molte aziende senza rete di sicurezza, un gap intercettato da Semperis che ha scelto di focalizzarsi proprio sulla sicurezza AD ora che le imprese la necessitano urgentemente mentre lavorano per approdare ad una nuova gestione dell’identità. Una mission che comprende azioni di sensibilizzazione e formazione ma anche strumenti di gratuiti di valutazione della sicurezza come Purple Knight per individuare i punti deboli presenti nelle configurazioni dei loro sistemi di identità.
Contributo editoriale sviluppato in collaborazione con Semperis