Microsoft Active Directory 于 1999 年推出,是 Windows 网络中的默认身份和访问管理服务,负责为所有网络端点分配和实施安全策略。有了它,用户可以跨网络访问各种资源。随着时代的发展,它们正在发生“变化”——几年前,微软推出了 Azure Active Directory,这是基于云的 AD 版本,用于扩展 AD 范式,为组织提供了“身份即身份”(Identity-as-a-)跨云和本地应用程序的服务 (IDaaS) 解决方案。(请注意,截至 2023 年 7 月 11 日,该服务已重命名为Microsoft Entra ID,但为了简单起见,我们在本文中将其称为 Azure AD)
Active Directory 和 Azure AD 对于本地、基于云和混合生态系统的运行至关重要,在正常运行时间和业务连续性方面发挥着关键作用。90% 的组织使用该服务进行员工身份验证、访问控制和 ID 管理,它已成为众所周知的城堡的钥匙。
Active Directory,有问题的活动#
但尽管 Active Directory 的安全状况至关重要,但其安全状况却常常严重缺乏。
让我们快速浏览一下 Active Directory 如何分配用户,这将有助于解释为什么该工具存在一些与之相关的问题。
Active Directory 的核心作用是建立具有与其关联的角色和授权的组。用户被分配一个用户名和密码,然后链接到他们的 Active Directory 帐户对象。使用轻量级目录访问协议,可以验证密码是否正确,并且还可以验证用户组。通常,用户被分配到域用户组,并将被授予对域用户有权访问的对象的访问权限。然后是管理员 – 这些是分配给域管理员组的用户。该组具有很高的特权,因此有权在网络中执行任何操作。
凭借如此潜在的强大功能,确保 Active Directory 得到最佳管理和配置至关重要。错过补丁、访问管理不善和配置错误等问题可能会让攻击者甚至能够访问最敏感的系统,这可能会造成可怕的后果。
到 2022 年,我们的内部研究发现,在危及关键资产的主要攻击技术中,73% 涉及凭证管理不善或被盗,组织中超过一半的攻击包括 Active Directory 危及的某些要素。一旦攻击者在 Active Directory 中站稳脚跟,他们就可以执行大量不同的恶意操作,例如:
-
隐藏网络中的活动
-
执行恶意代码
-
提升权限
-
进入云环境危害关键资产
重点是,如果您不知道 Active Directory 中发生了什么,并且缺乏适当的流程和安全控制,则可能会给攻击者留下可乘之机。
最新的研究报告发现#
-
攻击者通常需要多少步骤才能危害您的关键资产
-
形成攻击路径的主要暴露和卫生问题
-
与混合、本地或多云网络攻击相关的主要发现。
Active Directory 攻击路径#
从攻击者的角度来看,Active Directory 是进行横向移动的绝佳机会,因为获得初始访问权限使他们能够通过利用错误配置或过度利用从低权限用户转移到更有价值的目标,甚至完全接管。过多的权限。
现在,让我们深入剖析 3 种实际的 Active Directory 攻击路径,看看攻击者是如何通过此环境的。
以下是我们在一个客户环境中遇到的攻击路径:
该组织坚定地致力于强化其安全态势,但 Active Directory 是一个盲点。在这种情况下,域中所有经过身份验证的用户(本质上是任何用户)都被意外授予了重置密码的权利。因此,如果攻击者通过网络钓鱼或其他社会工程技术接管了一个 Active Directory 用户,他们就可以重置其他用户的任何密码并接管域中的任何帐户。一旦他们看到这一点,他们终于明白了他们所需的 Active Directory 安全方法升级,以便他们锁定并强化他们的安全实践。
这是我们一位客户的 Active Directory 中的另一份;
我们发现了使用经过身份验证的用户组的攻击路径,该用户组有权将 GPO 策略的 gPCFileSysPath 更改为包含恶意策略的路径。
受影响的对象之一是 AD 用户容器,其子对象是属于域管理员组的用户。域中的任何用户都可以获得域管理员权限 - 他们所需要的只是一个非特权用户成为网络钓鱼电子邮件的牺牲品,从而危及整个域。这可能会导致他们的域名遭到彻底破坏。
准备好再来一张了吗?这里是:
首先,攻击者通过网络钓鱼邮件渗透企业环境,打开钓鱼邮件后,会利用未打补丁的计算机上的漏洞执行代码。下一步是通过凭证转储技术利用受损的 Active Directory 用户的本地和域凭证。然后,攻击者有权将自己添加到组中,以便他们可以将受感染的 Active Directory 用户添加到 Active Directory 帮助台组中。
帮助台组拥有重置其他用户密码的 Active Directory 权限,在此阶段,攻击者可以重置另一个用户的密码,最好是旧的、不再使用的管理员。既然他们是管理员,他们就可以在网络中执行许多有害活动,例如通过向 Active Directory 中的其他用户添加脚本登录来运行恶意代码。
这些只是攻击者跨越 Active Directory 环境的一些相对简单的方法。通过了解这些实际的真实攻击路径,组织可以开始从攻击者的角度了解其 Active Directory 和 AD Azure 环境。
-
Active Directory (AD) 暴露如何与其他攻击技术相结合形成攻击路径
-
一旦攻击者危害了 AD 用户,他们可以执行哪些操作
-
如何提高 Active Directory 安全性
结论#
查看攻击路径可以帮助应对这些潜在的棘手环境。通过全面了解本地和云环境中 Active Directory 中存在的攻击路径,组织可以了解攻击者如何通过基于上下文的对其环境的了解进行横向移动,从而让他们了解问题如何组合起来以促进攻击冒充用户、升级权限并获得对云环境的访问权限。
有了这种理解,组织就可以优先考虑真正需要修复和强化环境的问题,以防止威胁行为者利用 Active Directory 的弱点。
原文始发于微信公众号(河南等级保护测评):了解 Active Directory 攻击路径以提高安全性
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论