从黑客视角看 Active Directory 攻击路径
2023-8-9 15:31:36 Author: hackernews.cc(查看原文) 阅读量:22 收藏

Hackernews 编译,转载请注明出处:

屏幕截图 2023-08-09 152015

1999年推出的Microsoft Active Directory是Windows网络中的默认身份和访问管理服务,负责为所有网络端点分配和执行安全策略。有了它,用户可以跨网络访问各种资源。随着时间的推移,事情往往会发生变化。几年前,微软推出了Azure Active Directory,这是基于云的AD版本,用以扩展AD范例,为组织提供跨云和本地应用程序的身份即服务(IDaaS)解决方案。(请注意,截至2023年7月11日,该服务已更名为Microsoft Entra ID,但为了简单起见,我们将在本文中将其称为Azure AD)。

Active Directory和Azure AD对于本地、基于云和混合生态系统的功能至关重要,也在正常运行时间和业务连续性方面发挥着关键作用。随着90%的组织使用该服务进行员工身份验证、访问控制和ID管理,它已成为打开网络城堡的钥匙。

Active Directory,不太妙

作为系统的中心,Active Directory的安全态势却十分可悲。

让我们快速浏览一下Active Directory的用户分配方式,这将揭示为什么这个工具存在我们所说的问题。

Active Directory所做的核心工作是建立具有与之关联的角色和授权的组。用户被分配一个用户名和密码,然后链接到他们的Active Directory帐户对象。使用轻量级目录访问协议,验证密码是否正确,并验证用户组。一般情况下,用户被分配到Domain User组,并被授予对域用户具有访问权限的对象的访问权限。然后是管理员——这些用户被分配到域管理员组。这个组具有很高的特权,因此被授权在网络中执行任何操作。

有了这些潜在的强大功能,确保以最佳方式管理和配置Active Directory是非常关键的。遗漏的补丁、糟糕的访问管理和错误的配置等问题可能会让攻击者访问最敏感的系统,这可能会带来可怕的后果。

在2022年,我们的内部研究发现,73%用于破坏关键资产的顶级攻击技术涉及管理不善或窃取凭证,而组织中超过一半的攻击包括一些Active Directory破坏元素。一旦他们在Active Directory中站稳脚跟,攻击者就可以执行大量不同的恶意操作,例如:

  • 在网络中隐藏活动
  • 执行恶意代码
  • 提升权限
  • 进入云环境危及关键资产

关键是,如果您不知道Active Directory中发生了什么,如果您缺乏适当的流程和安全控制,您可能会向攻击者敞开大门。

Active Directory攻击路径

从攻击者的角度来看,Active Directory是进行横向移动的绝佳机会,因为获得初始访问权限使他们可以利用错误配置或过度的权限,从低特权用户转移到更有价值的目标,甚至完全接管。

现在让我们来分析一下3种实际的Active Directory攻击路径,看看攻击者是如何通过这种环境的。

以下是我们在一个客户环境中遇到的攻击路径:

屏幕截图 2023-08-09 152454

该组织致力于加强其安全态势,但Active Directory是一个盲点。在这种情况下,域中所有经过身份验证的用户(实际上是任何用户)都意外地获得了重置密码的权限。因此,如果攻击者通过网络钓鱼或其他社会工程技术接管了一个Active Directory用户,他们就可以为其他用户重置任何密码,并接管域内的任何帐户。一旦他们看到了这一点,他们终于明白他们的Active Directory安全方法需要升级,所以他们锁定并加强了他们的安全实践。

以下来自我们另一个客户的Active Directory:

屏幕截图 2023-08-09 152536

我们通过身份验证用户组发现了攻击路径。该用户组可以将GPO策略的gPCFileSysPath更改为具有恶意策略的路径。

受影响的对象之一是AD用户容器,其子对象是属于Domain Admin组的用户。域内的任何用户都可以获得域管理权限——他们所需要的只是一个非特权用户成为网络钓鱼电子邮件的牺牲品,从而危及整个域。这可能会导致他们的系统完全妥协。

下面是更多案例:

屏幕截图 2023-08-09 152617

首先,攻击者通过网络钓鱼邮件渗透企业环境,当打开这些邮件时,攻击者会使用未打补丁的机器漏洞执行代码。下一步是通过凭据转储技术利用受感染的Active Directory用户本地和域凭据。然后攻击者有权限将自己添加到一个组中,这样他们就可以将受感染的Active Directory用户添加到Active Directory帮助台组中。

帮助台组具有重置其他用户密码的Active Directory权限,在这个阶段,攻击者可以将密码重置为另一个用户的密码,最好是一个旧的、不再使用的admin用户。由于他们是管理员,他们就可以在网络中执行许多有害的活动,例如通过向Active Directory中的其他用户添加脚本登录来运行恶意代码。

这些只是攻击者在活动Active Directory中使用的一些相对简单的方法。通过了解这些实际的攻击路径,组织可以开始从攻击者的角度来看他们的Active Directory和AD Azure环境是什么样子。

结论

查看攻击路径可以帮助加固这些潜在的棘手环境。通过全面了解跨本地和云环境的Active Directory中存在的攻击路径,组织可以了解攻击者如何基于上下文理解其环境进行横向移动的;了解黑客是如何攻击和冒充用户、提升特权和获得对云环境的访问权的。

了解了这一点,组织就可以优先考虑真正需要修复的内容,并加强环境,以防止攻击者利用Active Directory的弱点。

消息来源:thehackernews,译者:Linn;  

本文由 HackerNews.cc 翻译整理,封面来源于网络;  

转载请注明“转自 HackerNews.cc ” 并附上原文


文章来源: https://hackernews.cc/archives/45025
如有侵权请联系:admin#unsafe.sh