Installazioni di Active Directory impostate in maniera scorretta sono sempre più sfruttate per sferrare attacchi informatici alle aziende di tutto il mondo. Come difendere dati riservati e informazioni sensibili.
La maggior parte delle aziende si serve di Microsoft Active Directory (AD) per le proprie attività. Si tratta di uno strumento che mette in collegamento il personale dell’impresa con le risorse presenti sulla rete aziendale, come le email o le condivisioni di file. Viene inoltre utilizzato dagli amministratori per gestire i privilegi degli account, autenticare gli utenti all’accesso e determinare le risorse accessibili per ciascuno di essi.
Abbiamo già visto, ad esempio, come configurare un controller di dominio Active Directory: i vantaggi sono molteplici perché si tratta di uno strumento software affidabile, versatile e sul mercato ormai da tanti anni.
Eccezion fatta per le versioni di anteprima, Active Directory è sulla piazza ormai dal 2000: in precedenza i servizi di directory IT che Microsoft forniva non erano abbastanza scalabili per soddisfare le esigenze delle medie e delle grandi imprese. Basti pensare che un’azienda con 1.000 dipendenti circa poteva aver bisogno di 200 server diversi per gestire le sue necessità.
Active Directory ha permesso di risolvere tutti i problemi: grazie alla possibilità di integrarsi con le applicazioni e accedere tramite meccanismi Single Sign-On nell’ambito aziendale, ha rivoluzionato il modo di utilizzare la rete. Con l’avvento dei servizi cloud Active Directory ha addirittura consolidato la sua già ampia diffusione: è infatti alla base della maggior parte dei sistemi di identità su cloud usati dalle aziende di tutto il mondo.
D’altra parte gli aspetti legati alla sicurezza di Active Directory rivestono oggi un aspetto cruciale. Non c’è “patch day” mensile di Microsoft (secondo martedì di ogni mese) in cui non vengano rilasciati aggiornamenti di sicurezza per Active Directory: le patch risolvono problemi che possono portare all’acquisizione di privilegi più elevati, alla sottrazione di informazioni riservate, all’esecuzione di codice arbitrario, all’autenticazione di utenti non aventi titolo.
Non è un caso che le vulnerabilità sfruttate per lanciare attacchi ZeroLogon e installare malware nelle infrastrutture di rete aziendali bersagliando proprio i controller Active Directory siano ancora oggi considerati tra i bug di sicurezza più pericolosi secondo chi si occupa di cybersecurity.
Gli esperti di Semperis invitano a non sottovalutare i rischi delle configurazioni Active Directory non sicure.
Perché Active Directory può rappresentare oggi un importante problema di sicurezza
Semperis mette in evidenza una serie di criticità legate all’utilizzo di Active Directory emerse anche nel corso dei recenti attacchi subìti da varie imprese a livello mondiale.
Active Directory non è stato progettato per far fronte a minacce di sicurezza complesse: quando è stato rilasciato i ransomware non esistevano, non c’erano gruppi di utenti malintenzionati sostenuti da enti nazionali e il cloud computing praticamente era inesistente.
Un prodotto come Active Directory, inoltre, è stato ideato per semplificare le operazioni di autenticazione. Questa facilità d’uso si è rivelata un’arma a doppio taglio per chi doveva proteggere il sistema.
Trattandosi di una soluzione “di lungo corso” in oltre 20 anni le aziende hanno accumulato l’utilizzo di configurazioni con diverse lacune di sicurezza e che in molte occasioni sono state sfruttate per colpire imprese e professionisti.
“Non c’è quindi da stupirsi se le vulnerabilità di Active Directory mettono a rischio di attacchi informatici circa il 90% delle aziende e se 9 violazioni su 10 prendono in qualche modo di mira Active Directory“, si spiega da Semperis. In un altro nostro articolo abbiamo visto cos’è un attacco informatico, come nasce e come diventa un problema.
L’attacco sferrato verso un’installazione di Active Directory può cominciare con la ricezione di un’email truffaldina e l’apertura di un allegato. L’utilizzo di efficaci tecniche di ingegneria sociale aiuta gli aggressori a rendere più credibile il contenuto delle email inviate.
Una volta in esecuzione, il codice malevolo viene utilizzato per acquisire privilegi più elevati quindi si fa leva su Active Directory per trovare altri dispositivi da infettare mappando le macchine collegate alla rete. Cominciano così i “movimenti laterali” all’interno della rete aziendale accedendo alle risorse condivise.
Active Directory non è quindi soltanto un obiettivo complessivamente facile da colpire ma promette anche un ricco bottino agli utenti malintenzionati. È un po’ il “contenitore” all’interno del quale sono conservate le chiavi di un’intera azienda: è il punto centrale che consente l’accesso ai sistemi più importanti (computer, applicazioni software e così via).
“Per dare qualche numero, un attacco che nel 2021 ha compromesso il sistema Active Directory di un’azienda ha fruttato un riscatto da ben 40 milioni di dollari“, ricorda Semperis.
Con il boom dei ransomware-as-a-service (RaaS), anche i malintenzionati che non dispongono di un particolare bagaglio di conoscenze tecniche possono servirsi degli strumenti messi a disposizione dai cybercriminali più esperti e usarli per aggredire aziende di primo piano, concorrenti, enti pubblici e così via.
Come proteggere Active Directory e lavorare in condizioni di sicurezza
Con una nota diramata in queste ore, Semperis ha voluto richiamare le aziende invitandole a porre la massima attenzione sulla corretta configurazione di Active Directory.
Bisogna innanzi tutto capire quali sono i punti deboli: per molte aziende può essere un processo complesso, specialmente per le piccole imprese che hanno al massimo una vaga idea su come proteggere i sistemi informatici.
Da parte sua Semperis propone Purple Knight, un software sviluppato e gestito da un gruppo di esperti di identità di Microsoft per valutare la sicurezza di Active Directory.
Purple Knight consente di individuare e correggere le vulnerabilità prima che siano sfruttate dagli utenti malintenzionati.
Per garantire il funzionamento di alcune applicazioni tante aziende tendono ad assegnare diritti amministrativi che non dovrebbero essere concessi. Di conseguenza gli account dotati dei privilegi di amministratore si accumulano e basta che uno sia compromesso per scatenare conseguenze devastanti. Un problema analogo deriva dall’utilizzo di account amministrativi che spesso vengono dimenticati e che possono diventare la leva per accedere alle risorse altrui.
L’utilizzo di password deboli e algoritmi di sicurezza datati rappresentano un’altra minaccia che viene comunemente sfruttata dagli aggressori per penetrare nelle reti gestite usando controller Active Directory.
Maggiori informazioni sulle possibili modalità di attacco sono riassunte nel report 2022 Purple Knight.
Condurre regolarmente verifiche interne di sicurezza, migliorare le procedure operative, formare il personale sul phishing e investire in tecnologie per il ripristino sono solo alcune delle “best practice” che possono aiutare le aziende a riprendersi in fretta nell’eventualità di un attacco. Ma è bene agire proattivamente per evitare di dover affrontare situazioni critiche.
