En Eski Active Directory Altyapı Güvenlik Açıkları ve Saldırganların Bunları Nasıl Gördükleri


Semperis Güvenlik Ürün Müdürü Tammy Mindel tarafından

Microsoft Active Directory (AD), siber saldırganlar için oldukça kazançlı bir hedef haline geldi. Kimlik hizmetinin kurumsal kuruluşlardaki yaygınlığı (2019 itibarıyla AD, Fortune 500 şirketleri arasında hâlâ yüzde 95 pazar payına sahip) ve güvenlik açıkları göz önüne alındığında, bu hiç de şaşırtıcı değil. Saldırganlar, saldırı yollarını belirlemek, ayrıcalıklı kimlik bilgilerine erişmek ve fidye yazılımı dağıtmak için zayıf AD yapılandırmalarından yararlanır. 451 Research, Enterprise Management Associates (EMA) ve Gartner tarafından hazırlanan son raporlar, AD güvenlik sorunlarıyla ilgili ortak kaygıyı vurguladı.

Sorunların çoğu, AD’nin siber güvenliğin bir öncelik olmadığı 2000 yılından beri yürürlükte olmasından kaynaklanmaktadır. Birçok kuruluş, yıllardır kullanılmayan ancak siber saldırılar için ağ geçitleri olmaya devam eden bileşenlere sahip eski AD sistemlerine sahiptir.

Siber suçlular, AD’nin birçok yinelemesinde geride bıraktığı ufak tefek parçaları nasıl ve nerede arayacaklarını bilirler. Saldırganlar, platformun kimlik yönetimi altyapısından yararlanarak ayrıcalıklarını artırabilir. Oradan, gökyüzü sınırdır: Fidye yazılımı dağıtabilir, veri çalabilir ve hatta organizasyonu ele geçirebilirler.

Bir EMA araştırmasına göre, yalnızca son iki yılda kuruluşların yüzde 50’si AD’ye özgü bir saldırı yaşadı ve bu saldırıların yüzde 40’ından fazlası başarılı oldu. Daha da kötüsü, penetrasyon testi uzmanları tipik olarak bir AD maruziyetinden yaklaşık olarak zamanın yüzde 80’ini yararlanabilir.

Güvenlik zayıflıkları için eski AD altyapılarını inceleme

Kuruluşlar, bazı yaygın AD istismarlarını önlemek için harekete geçebilir. Aşağıda, AD altyapı ortamınızdaki güvenlik açıklarını belirlemeye ve gidermeye yönelik pratik yönergeler yer almaktadır.

  1. Uygun AD hijyenini koruyun

İyi bir fiziksel hijyen uygulamak hastalanma şansınızı azalttığı gibi AD ortamınızda uygun hijyeni sürdürmek siber suçlarla mücadele etmek için çok önemlidir. Dizin hizmetini güvenli bir şekilde yapılandırırsanız ve yanlış yapılandırmaları temizlerseniz, sisteminiz saldırganlar için çok daha az çekici olacaktır.

Her şeyden önce, potansiyel istismarları ve saldırı vektörlerini ortaya çıkarmak için AD kurulumunuzu tüm karmaşıklığıyla sürekli olarak inceleyin. Düzenli ve hatta sürekli güvenlik açığı değerlendirmeleri gerçekleştirin. Sahipsiz hesapları silmek, sıkı bir erişim kontrolü politikası uygulamak, etkili risk yönetimini zorunlu kılmak ve eski bileşenleri kaldırmak gibi temel siber güvenlik en iyi uygulamalarını uygulayın.

Yakında öğreneceğiniz bu son eylem maddesi, muhtemelen en önemlisidir.

  1. Çoğu büyük AD güvenlik açığının pek çok ortak yönü olduğunu bilin

Sıklıkla istismar edilen AD güvenlik açıklarını inceleyerek benzerlikleri fark edeceksiniz. Şu anda en yaygın olanlardan üçü olan aşağıdaki güvenlik açıklarını göz önünde bulundurun: PetitPotam, PrintNightmare ve SID Geçmişi.

Petit Pot için

Bu kimlik doğrulama zorlama istismarı ilk olarak Temmuz 2021’de yayınlandı. Etki alanı erişimi olan saldırganlar, Şifreleme Dosya Sistemi gibi savunmasız bir arabirim kullanarak kimlik doğrulaması yapabilir. Daha sonra, ayrıcalıklarını daha da yükseltmek için klasik bir NT LAN Manager (NTLM) geçişini kullanabilirler.

Microsoft’un PetitPotam için önerdiği düzeltme, tüm Active Directory Sertifika Hizmetleri sistemlerinde NTLM kimlik doğrulamasını devre dışı bırakmak ve ardından ortadaki adam saldırılarını ortadan kaldırmaya yardımcı olmak için Kimlik Doğrulama için Genişletilmiş Korumayı etkinleştirmektir.

BaskıKabus

PrintNightmare, adından da anlaşılacağı gibi, Windows Yazdırma Biriktiricisi hizmetini hedefleyen bir dizi güvenlik açığıdır. Uzak yazdırma işlerini depolamak ve kuyruğa almak amacıyla, ağ içindeki saldırganlar bu hizmeti kullanarak yazıcı sürücülerine DLL enjeksiyonu gerçekleştirebilir ve ardından bunları sistem izinleriyle çalıştırabilir. Herhangi bir kullanıcı hizmete bağlanabilir ve sistem izinleriyle etki alanı denetleyicisine erişim elde etmek için hizmeti kötüye kullanabilir.

PetitPotam’da olduğu gibi, önerilen düzeltme etki alanı denetleyicinizde Windows Yazdırma Biriktiricisi hizmetini devre dışı bırakmaktır.

SID Geçmişi

Genellikle yalnızca geçiş senaryolarında, yeni etki alanlarının entegrasyonunda veya birleşmelerde kullanılan SID Geçmişi, binlerce kayıt sağlayabilen bir kullanıcı hesabı nesne özniteliğidir. Kaçınılmaz olarak, bazı SID Geçmişi parçaları geride kalır—eski sistemlere erişimi bozmaktan korktuğunuz için temizlemeye isteksiz olabileceğiniz parçalar.

Bu güvenlik açığını gidermek, güvenlik tanımlayıcılarına (SID’ler) ilişkin görünürlüğü korumanızı, ayrıcalıklı SID’leri tanımlamanızı ve yetkisiz değişiklikleri taramanızı gerektirir.

Bu güvenlik açıklarının ortak noktası nedir? Birincisi, onlar kolay hedefler. İkincisi, eski bileşenlerden yararlanırlar. Üçüncüsü, durdurulmaları kolaydır – burada dikkat edilmesi gereken nokta, nereye ve nasıl bakacağınızı bilmeniz gerektiğidir.

  1. Saldırganların genellikle belirli AD hedeflerini aradığını bilin

Saldırganlar bir AD ortamını hedeflediklerinde genellikle karmaşık yöntemler kullanmazlar. Kilitlenmemiş bir kapı veya açık pencere aramak için bir otoparkta gezinmenin dijital eşdeğerini yapıyorlar – onlara en yüksek potansiyel getiriyi sağlayacak en az direnç yolu.

Ortak hedefler şunları içerir:

  • Eski sistemler: Daha eski bileşenler genellikle yeterince kullanılmaz, gevşek bir şekilde izlenir ve yüksek oranda istismar edilebilir.
  • SID yanlış yapılandırması: En yaygın olarak artık bir ayrıcalıklı SID biçiminde
  • Güvenlik politikası sorunu: Yanlış yapılandırılmış Grup İlkesi güvenliği yaygın bir hedeftir
  1. Güvenlik açıklarını ortaya çıkarmak için test araçlarını kullanın

AD uzmanlarından oluşan Semperis ekibi tarafından oluşturulan ücretsiz bir AD güvenlik değerlendirme aracı olan Purple Knight gibi, AD ortamınızı maruz kalma ve uzlaşma göstergelerine karşı tarayan araçlar, yaygın güvenlik açıklarını ortaya çıkarmanıza ve gidermenize yardımcı olabilir. İdeal yaklaşım, AD ortamınızı istismarlara karşı sürekli olarak izleyen bir çözüm kullanmak olsa da, Purple Knight gibi bağımsız bir aracı düzenli olarak kullanmak (ayda iki kez en uygun noktadır) olası sorunlara karşı farkındalığınızı artıracak ve size bir yol haritası verecektir. iyileştirme için.

AD’nin güvenliğini sağlamak devam eden bir süreçtir

Çoğu kuruluş için kimlik ve erişim yönetiminin temel dayanağı olan AD, varlıklar buluta kaysa bile altyapı güvenliği yapbozunun temel bir parçası olmaya devam edecektir: AD, günümüzde yaygın olarak kullanılan hibrit kimlik mimarisinin temelidir. AD yakın zamanda ortadan kalkmayacak ve iyi bilinen güvenlik açıklarına sahip olsa da, kuruluşlar, yaygın olarak kullanılan AD yanlış yapılandırmalarının sık ve sistematik bir şekilde gözden geçirilmesiyle genel güvenlik duruşlarını iyileştirebilir. AD değerli bir araç olmaya devam ediyor. Dikkatsizlik kapıyı düşmanlara açık bıraktığından, sadece onu doğru ve güvenli bir şekilde kullanmalıyız.

yazar hakkında

En Eski Active Directory Altyapı Güvenlik Açıkları ve Saldırganların Bunları Nasıl GördükleriSemperis Güvenlik Ürün Müdürü Tammy Mindel, siber güvenlik sektöründe müşteri ve ürün merkezli roller üstlenmiştir ve uygulama güvenliği, altyapı/ağ güvenliği, olay müdahalesi ve adli tıp ve en iyi güvenlik uygulamaları ve standartları konularında deneyime sahiptir.

Tammy Mindel’e https://www.linkedin.com/in/tammy-mindel/ ve http://www.semperis.com adreslerinden ulaşılabilir.



Source link