Microsoft’un Windows etki alanı ağları için şirket içi dizin hizmeti olan Active Directory (AD), kurumsal kimlik ve erişim yönetimi için o kadar yaygın bir şekilde kullanılıyor ki, bu hizmetin güvenliğini ihlal etmek siber saldırılarda neredeyse standart bir adım haline geldi.
Five Eyes siber güvenlik ajansları, yakın zamanda AD ihlallerini tespit etmek ve azaltmak için yayınladıkları bir kılavuzda, “Active Directory, izin verici varsayılan ayarları, karmaşık ilişkileri ve izinleri; eski protokollere destek ve Active Directory güvenlik sorunlarını teşhis etmek için yeterli araç bulunmaması nedeniyle ihlallere karşı hassastır” açıklamasını yaptı.
“Active Directory’nin kontrolünü ele geçirmek, ister finansal kazanç elde etmeye çalışan siber suçlular, ister siber casusluk yapan ulus devletler olsun, çeşitli amaçlara sahip kötü niyetli aktörlerin, kurbanın ağındaki kötü amaçlı hedeflerine ulaşmak için ihtiyaç duydukları erişimi elde etmelerini sağlayabilir.”
Microsoft AD saldırıları, azaltmalar ve algılama
Active Directory çeşitli hizmetler sunar:
- Etki Alanı Hizmetleri (AD DS) – kimlik doğrulama ve yetkilendirme, güvenlik politikalarını uygulama
- Federasyon Hizmetleri (AD FS) – federasyon kimliği ve erişim yönetimi
- Sertifika Hizmetleri (AD CS) – genel anahtar altyapısı sertifikalarının verilmesi/yönetilmesi (örneğin, güvenli iletişim için)
- Hafif Dizin Hizmetleri (AD LDS) – uygulamalar için dizin hizmetleri
- Hak Yönetimi Hizmetleri (AD RMS) – bilgi hakları yönetimi
“Birçok kuruluş için Active Directory, karmaşık bir izin, yapılandırma ve ilişki kümesi aracılığıyla birbirleriyle etkileşime giren binlerce nesneden oluşur. Nesne izinlerini ve bu nesneler arasındaki ilişkileri anlamak, bir Active Directory ortamını güvence altına almak için kritik öneme sahiptir,” diye belirtti kurumlar ve bu amaçla kullanılabilecek bazı araçları sıraladılar.
Saldırganlar, Kerberoasting, parola püskürtme, MachineAccountQuota ihlali, altın sertifika, Microsoft Entra Connect ihlali ve daha birçok tekniği kullanarak ayrıcalık yükseltme, keşif, yatay hareket ve kalıcılık için Active Directory’yi kullanır.
Bunların her biri kılavuzda açıklanmakta ve bunları hafifletebilecek güvenlik kontrollerinin bir listesi ve tehlikeye işaret edebilecek kayıtlı olayların bir listesi verilmektedir.
Ancak “birçok Active Directory ihlalinin meşru işlevselliği suistimal etmesi ve normal aktivite tarafından üretilen aynı olayları üretmesi nedeniyle” kurumlar ayrıca Canary nesnelerinin kullanılmasını öneriyor.
“En kararlı kötü niyetli aktörleri kovmak, tüm kullanıcıların parolalarını sıfırlamaktan Active Directory’nin kendisini yeniden oluşturmaya kadar uzanan sert eylemler gerektirebilir. Active Directory’nin tehlikeye atıldığı kötü niyetli faaliyetlere yanıt vermek ve bunlardan kurtulmak genellikle zaman alıcı, maliyetli ve yıkıcıdır. Bu nedenle, kuruluşların Active Directory’yi kötü niyetli aktörlerden daha iyi korumak ve tehlikeye atmalarını önlemek için bu kılavuzdaki önerileri uygulamaları teşvik edilmektedir,” diye sonlandırdılar.
Bu açık kaynaklı araçlara göz atın:
SOAPHound: ADWS aracılığıyla Active Directory verilerini toplamak için bir araç
Adalanche: Bir Active Directory görselleştirici ve gezgin aracı
GOAD: Yaygın AD saldırı tekniklerini uygulamak için bir pentest laboratuvarı
BloodHound: AD ve Azure ortamlarında saldırı yollarını haritalayan pentest çözümü