Александр КравченкоРекомендации по защите службы каталогов Active Directory от типовых атак
Александр КравченкоАлександр КравченкоАлександр КравченкоСпециалисты функции ИБ должны знать слабые места своей инфраструктуры, а также тактики и техники злоумышленников, которые они используют, чтобы атаковать организации. Эти техники постоянно меняются и развиваются, а значит, следует не только отслеживать деятельность хакеров (для этого можно использовать ресурсы Positive Technologies, Kaspersky, BI.ZONE), но и проверять инфраструктуру компании, устраивая периодические и участвуя в программах .
Атака злоумышленника на инфраструктуру часто затрагивает систему каталогов Active Directory (AD). Компрометация AD – один из шагов на пути развития атаки на пути к целевой системе. К компрометации домена может привести ряд факторов, таких как пробелы в разворачивании антивирусной защиты, запоздалое обновление приложений, операционных систем и их компонентов, неправильная конфигурация систем.
В этой статье будут рассмотрены примеры атак, уязвимостей и недостатков конфигурации, которые используют злоумышленники для компрометации доменной инфраструктуры, и даны рекомендации по повышению безопасности службы каталогов Active Directory.
Служба AD использует протокол Kerberos для аутентификации и авторизации пользователей и сетевых служб. Протокол обладает особенностями, используя которые злоумышленник может осуществить успешную атаку. Ниже приведены примеры популярных атак в доменной инфраструктуре с использованием Kerberos, а далее вы найдете рекомендации для защиты от них.
Атака Golden Ticket. Злоумышленник с правами администратора домена может создать билет Kerberos с максимальным уровнем привилегий и с очень длинным сроком действия. В итоге злоумышленник может получить возможность аутентифицироваться под любым пользователем домена, длительное время находиться и скрытно передвигаться по доменной инфраструктуре.
Атака Silver Ticket. Злоумышленник с привилегиями пользователя домена со скомпрометированного узла может создать билет Kerberos для доступа к конкретному сервису или ресурсу без знания пароля. В итоге злоумышленник может получить доступ к указанному сервису или ресурсу.
Атака Kerberoasting. Злоумышленник с привилегиями пользователя домена может запросить билет TGS (Ticket Granting Service) ко всем SPN (Service Principal Name) в домене. В итоге злоумышленник может получить пароль сервисной учетной записи.
Атака ShadowCoerce. Злоумышленник без прав в доменной инфраструктуре через общедоступный эксплойт может проэксплуатировать уязвимость протокола MS-FSRVP службы теневого копирования (VSS) Active Directory. В итоге злоумышленник может получить учетную запись с правами контроллера домена.
Атака Shadow Credentials. Злоумышленник без прав в доменной инфраструктуре может использовать атрибут msDS-KeyCredentialLink для компрометации атакуемой учетной записи Active Directory. В итоге злоумышленник может получить доступ к доменной учетной записи.
Атака AS-REP Roasting. Злоумышленник без прав в доменной инфраструктуре может осуществить поиск учетной записи, для которой установлено свойство Do not require Kerberos preauthentication, и далее запросить билет Kerberos. В итоге злоумышленник может получить билет Kerberos для учетной записи, с помощью которого может быть получен пароль соответствующей учетной записи.
Атака sAMAccountName spoofing. Злоумышленник без прав в доменной инфраструктуре может использовать уязвимости «Подмена имени в Active Directory» (Name impersonation, CVE-2021-42278) и «Подделка запросов к службе KDC» (KDC bamboozling, CVE-2021-42287) для создания учетной записи с именем, похожим на имя легитимной учетной записи в Active Directory. В итоге злоумышленник может получить доступ к ресурсам, предназначенным для легитимной учетной записи.
Неограниченное делегирование Kerberos. Злоумышленник, обладающий привилегированным доступом на скомпрометированном узле, на котором разрешено неограниченное делегирование, может использовать данный механизм протокола Kerberos для получения доступа к ресурсам без знания пароля. В итоге злоумышленник может получить доступ к ресурсам, для которых настроено делегирование.
krbtgt;msDS-KeyCredentialLink для любой учетной записи в домене. Если это по какой-то причине невозможно выполнить, организовать такой запрет для привилегированных учетных записей;Account is sensitive and cannot be delegated;Protected Users. Начиная с Windows Server 2012 члены этой группы не могут быть делегированы;msDS-AllowedToActOnBehalfOfOtherIdentity, и оставить эту привилегию только для тех учетных записей, которым она необходима;AD позволяет реализовать централизованное управление пользовательскими и сервисными учетными записями, включая предоставление прав доступа к ресурсам организации. Ниже приведены типичные ошибки при настройке доступа к ресурсам доменной инфраструктуры, а также рекомендации по их устранению.
Использование одинаковых учетных данных. Злоумышленник, получивший информацию об идентификаторе и пароле пользователя одного ресурса, может получить доступ к другим.
Небезопасное использование встроенных групп. Злоумышленник, получивший доступ к учетной записи, состоящей в группах Account Operators или Organization Management, может осуществить компрометацию домена.
Недостаточные ограничения на создание учетных записей рабочих станций. Злоумышленник, получивший учетные данные пользователя, способного создавать учетные записи рабочих станций, может использовать это для проведения дальнейших атак.
Недостаточный контроль прав доступа. Злоумышленник, использующий учетные записи пользователей домена, обладающих избыточной привилегией AllExtendedRights, может получить полный контроль над различными узлами ЛВС, так как указанная привилегия позволяет среди прочего с помощью специальных запросов к службе Active Directory получить пароли локальных администраторов ряда узлов.
Account Operators и Organization Management, не использовать их для делегированного администрирования. Для удаления членов группы можно воспользоваться утилитой из пакета AD_Sec_Tools;MachineAccountQuota, определяющего, какое количество учетных записей рабочих станций может создать пользователь в домене. Для этого необходимо выполнить следующую команду: Set-ADDomain (Get-ADDomain) .distinguishedname -Replace @{"ms-ds-MachineAccountQuota"="0"}.Центр сертификации (certification authority, CA) обеспечивает выдачу и управление сертификатами для аутентификации узлов, пользователей и других объектов в AD. Ниже приведены примеры ошибок конфигурации центра сертификации, которые злоумышленник может использовать для проведения атаки, а также рекомендации по их исправлению и повышению общего уровня безопасности CA.
Небезопасная конфигурация CA-сервера. Наличие флага EDITF_ATTRIBUTESUBJECTALTNAME2 позволяет задать произвольное альтернативное имя субъекта (Subject Alternative Name, SAN) для всех сертификатов, несмотря на конфигурацию шаблона сертификата. Злоумышленник с привилегиями пользователя домена может выбрать любой шаблон сертификата, который разрешает аутентификацию клиента, доступный в том числе другим непривилегированным пользователям (например, шаблон User по умолчанию), и получить с его помощью привилегии администратора домена (или любого другого активного пользователя / учетной записи рабочей станции).
Небезопасная конфигурация шаблона сертификата. Шаблон сертификата Template на узле может содержать известные недостатки конфигурации, которые позволяют злоумышленнику получить сертификат на имя любой учетной записи путем указания альтернативного имени.
Небезопасное использование веб-служб в центре сертификации. Если в центре сертификации настроена веб-служба регистрации сертификатов Web Enrollment и при этом на веб-сервере Microsoft IIS не используется Extended Protection forAuthentification, то в случае, если доступен подходящий шаблон сертификата, возможно использование NTLM-аутентификации учетной записи рабочей станции для получения сертификата доступа к этой рабочей станции.
Небезопасные права доступа к шаблону сертификата. Если пользователям группы Authenticated Users доступны права на изменение владельца шаблона (право WriteOwner), права доступа к шаблону (право WriteDACL), а также право изменять любые свойства шаблона сертификата (право WriteProperty), злоумышленник может воспользоваться такой учетной записью, чтобы изменить конфигурацию шаблона для дальнейшего развития атаки.
EDITF_ATTRIBUTESUBJECTALTNAME2. Если этот флаг необходим, рекомендуется использовать функции подтверждения запросов диспетчером центра сертификации и подписания запросов авторизованным сертификатом;UseSubjectAltName в ветке HKLM\SYSTEM\CurrentControlSet\Services\Kdc на всех контроллерах домена. В этом случае злоумышленник сможет указать альтернативное имя в запросе на получение сертификата, но не сможет использовать альтернативное имя при аутентификации;WriteOwner, WriteDACL, WriteProperty, FullControl и Owner, выданы только ограниченному числу привилегированных пользователей;Следует отметить, что уровень защиты системы Active Directory от атак злоумышленников неразрывно связан с реализацией и системы в организации.