2024’ün başlarında, Blackcat Fidyeware Saldırısı Değişim Sağlık Hizmetlerine Karşı Saldırı, ABD sağlık sektöründe büyük bir bozulmaya neden oldu. Daha sonra, bu büyük ulusal olayın nedeninin, bir değişim Healthcare Citrix portalına uzaktan erişmek için kullanılan tehlikeye atılan kimlik bilgilerine geri döndüğü ortaya çıktı. Portala erişim, çok faktörlü kimlik doğrulama (MFA) ile güvence altına alınmadı.
Bu erişimi kullanarak saldırganlar, verileri dışarı atmak ve nihayetinde fidye yazılımı dağıtmak için Change Healthcare’in sistemlerinde yanal olarak hareket ettiler – milyonlarca Amerikalıyı etkilemeye devam eden sonuçlarla.
Olay, Active Directory güvenlik açıklarını vurgulayan birçok son saldırıdan biridir ve Windows Active Directory’de (AD) ayrıcalık kötüye kullanım tehdidini yönetmenin bugünün ağlarını güvence altına almak için neden gerekli olduğunu vurgulamaktadır.
Doğru korumalar olmadan, saldırganlar AD’deki herhangi bir standart kullanıcı hesabını tehlikeye atabilir ve çok daha güçlü ve tehlikeli erişim elde etmek için ayrıcalıkları yükseltebilir.
Şirket içi Active Directory güvenlik açıkları
Düşmanlar için, hiçbir hedefin çoğu kuruluşun kimlik ve erişim yönetim sistemlerinin temeli olan Windows Active Directory’den daha fazla değeri yoktur. Değişim sağlık hizmeti ihlali iyi bilinen bir olay olsa da, tek örnek bu değil. Çok sayıda diğer siber saldırı AD’deki benzer zayıflıklardan yararlandı.
Ne yazık ki, reklam güvenlik açıklarının bir nedeni, platformun boyutu ve karmaşıklığının, AD’yi güvence altına almanın birçok yönünün basit olmadığı anlamına gelmesidir. Bu, özellikle kuruluşların güvenliği kendi başlarına birleştirmesi gereken şirket içi reklam hesapları için geçerlidir.
Saldırganlar, ağın içine girmek için ayrıcalıklı olmayan reklam hesaplarından ödün vermeye çalışırlar. İçeri girdikten sonra, reklamı içeriden daha da manipüle etmek için Pandora’nın araç ve teknik kutusunu açabilirler. Değişiklik Sağlık Örneği örneğinin altını çizdiği gibi, bunun en açık kısmı kullanıcı hesapları ve kimlik bilgileridir.
Bu kimlik bilgisi ve kullanıcı uzlaşması sorunu reklam güvenliğinin merkezinde yer almaktadır. Bu, hesapların yönetilme, izleme ve savunma reklamının temel bir bölümünü güvence altına alma şeklini sağlar.
İyi reklam savunması sadece ilk erişim noktasında saldırganları durdurmakla ilgili değildir. Aynı zamanda içeri girerse ağın içinde yanal olarak hareket etmeyi zorlaştırmakla ilgilidir.
Active Directory’deki ayrıcalıkları sömürmek ve yükseltmek
AD’deki ayrıcalıklar fikrinin yanlış anlaşılması kolaydır. Normalde, ayrıcalıklı erişimi, sistem düzeyinde güçler veren yöneticiler tarafından işletilenler gibi özel hesaplarla ilgili olarak düşünüyoruz.
Aslında, AD’nin bir dizi ayrıcalıklı kullanıcı hesabı vardır. Her birinin kurumsal yöneticiler, alan adları, şema yöneticileri, grup politika yöneticileri, yedekleme yöneticileri, hesap yöneticileri ve uygulama hizmeti hesapları dahil olmak üzere biraz farklı erişim hakları vardır. Bazı durumlarda, bir idari hesap bu rollerden birden fazlasını gerçekleştirebilir.
Neden bu kadar çok yönetici türü var? Cevap, genel olarak ağ yönetiminde olduğu gibi, iyi reklam yönetimi en az ayrıcalık güvenliği ilkesine dayanmaktadır. Her hesap yalnızca kendisine atanan işi yapmak için gereken ayrıcalıklara sahip olmalıdır. Bu, özellikle bu ayrıcalıkların yönetici düzeyinde güçler verdiği durumlarda önemlidir.
Bu, AD’deki en alçak kullanıcı hesapları da dahil olmak üzere tüm hesapların bazı ayrıcalıklara sahip olduğu önemli gerçeğini gündeme getirir. AD’de, en temel ayrıcalık bile bir risk oluşturan ve bu nedenle kontrol edilmesi gereken bir ayrıcalıktır.
Reklamın yumuşak göbeği, bir saldırganın ayrıcalıkları yükseltme yeteneğidir. Saldırganlar rutin olarak sıradan bir Active Directory kullanıcı hesabını tehlikeye atar ve ağın daha hassas alanlarına ulaşmak için ayrıcalıklarını yükseltir. Bu bize tüm reklam hesaplarını güvence altına almanın önemini hafife almamamızı hatırlatır.
Saldırganlar ayrıcalıkları nasıl yükseltiyor? Yazılım güvenlik açıklarından veya dahili yanlış yapılandırmalardan yararlanmak ve dahili reklam süreçlerini ele geçirmek de dahil olmak üzere çok sayıda teknik mevcuttur. Ancak bugünün saldırganları, ayrıcalıklı hesap kimlik bilgilerini tanımlamak ve hedeflemek için ağ araçlarını sık sık kullanıyor. Saldırganlar daha sonra bu hesapların erişimlerini genişletme ayrıcalıklarını üstlenirler.
İmtiyaz Kötüye Kullanım ve Güvenli Active Directory Erişimi Nasıl Durdurulur
AD’nin güvenliği, kimlik avı girişimlerine karşı savunma, güçlü şifrelerin uygulanması ve MFA kullanarak tüm hesapların güvence altına alınması da dahil olmak üzere birden fazla güvenlik katmanı gerektirir.
Ayrıcalıklı hesap erişimini ve yönetici eylemlerini izlemek ve denetlemek ve bir yönetici hesabı politikaları değiştiriyorsa uyarılar ayarlamak için anahtardır. Bu, dış saldırılara ve içeriden gelen tehditlere karşı korur.
Bununla birlikte, reklam yönetimi asla tek bedene uygun olmadığından-ayrıcalıklı kullanıcılar için bile-bu tür bir hesabın grup özelliklerini değiştirmeden “okumasına” ya da görüntüleyebilmesi veya bunları “yazmasına” ve değiştirmeye izin verilebilmesi için politikaları ayrıntılı olarak uygulayabilmelidir.
Kullanıcı Hesabı Kontrolü (UAC) istemlerine MFA uygulayın
Varsayılan olarak, UAC (Kullanıcı Hesabı Kontrolü) Yönetici düzeyindeki istemleri yalnızca bir şifre gerektirir. Buna MFA eklemek, saldırı yüzeyinin kırılganlığını büyük ölçüde azaltır ve ayrıcalık istismarı ve reklam uzlaşmasına karşı mücadelede güçlü bir yumruk atar. UAC istemleri konusunda uyarılar ayarlayabilirseniz, ağdan geçmeye çalışan tehdit aktörlerini daha hızlı bir şekilde tespit edersiniz.
Active Directory’yi savunmak oturum açmada durmaz
Reklamı savunmak kolay değil. Kuruluşların ek güvenlik katmanları oluşturacağını varsayan büyük ve karmaşık bir platformdur. Başarılı olmak için, savunucular kimlik bilgisi uzlaşması, yanal hareket, ayrıcalık kötüye kullanım, içeriden gelen tehditler ve daha fazlası dahil olmak üzere geniş kapsamlı tehditleri ele almalıdır.
Kritik olarak, savunucular yalnızca uyumluluk ve siber sigorta gereksinimlerini kontrol etmek için yerleşik çözümleri durdurmalıdır. Ayrıca, çözümlerinin yukarıdaki tehditleri önlemek için gerekli güvenliği sunmasını sağlamalıdırlar. Bazı çözümler onay kutuları, diğerleri de onay kutularında gerçekleşen etkili güvenlik sunar – ikincisini bulmak daha zordur.
Buradaki paket nedir? Oturum açmayı güvence altına almak için MFA uygulmuş olsanız bile, bir kullanıcı erişim kazandıktan sonra neler olduğunu kontrol edebileceğinizden ve izleyebildiğinizden emin olun.
Kuruluşlar, AD içindeki iç eylemleri savunmak için ilk erişimi yaptıkları kadar çaba sarf etmezler. Gerçek dünya siber saldırıları bize bunun bir hata olduğunu söylüyor. Bir saldırgan erişim kazandıktan sonra olan şey, ilk uzlaşma kadar önemlidir.
Yazar hakkında
François Amigorena, Microsoft Windows ve Active Directory ortamları için erişim yönetimi ve MFA konusunda uzmanlaşmış küresel bir yazılım şirketi olan IS kararlarının kurucusu ve CEO’sudur. IBM’de bir kariyer ve La Société Générale’in bir yan kuruluşundan sonra Francois 1989’da girişimci oldu ve asla geriye bakmadı. François’e ulaşılabilir