5 vanliga AD-attacker

Active Directory introducerades 1996 i samband med Windows 2000, vilket innebär att det har funnits god tid att hitta många olika sätt att utnyttja sårbarheter i och runt systemet. Flera av dem går ut på att utnyttja sårbarheter i autentiseringen för att tillskansa sig högre behörigheter, vilka sedan används för att flytta sig lateralt i nätverket. Nedan följer några kända attacker som angriper autentiseringsprotokollen i AD.

1. Pass the Hash

Pass the Hash (PtH) är en attack mot NTLM-protokollet där angriparen autentiserar sig som en användare utan att ha tillgång till användarens lösenord i klartext. Attacken kringgår den del av autentiseringen som kräver ett klartextlösenord genom att använda offrets lösenordshash för att autentisera sig som offret. Angriparen kan till exempel få tag på offrets lösenordshash genom att dumpa ut lösenordshasharna som är sparade lokalt i minnet på en dator i nätverket som angriparen tagit kontroll över. Därefter kan hashen användas för NTLM-autentisering mot resurser i nätverket eftersom protokollet aldrig kräver lösenordet i sig, utan bara dess hash. Detta resulterar i att angriparen kan uppnå samma behörighet som användaren vars lösenordshash användes i autentiseringen.

2. Pass the Ticket

Pass the Ticket (PtT) liknar Pass the Hash men riktar sig in på Kerberosprotokollet. Attacken utnyttjar faktumet att protokollet inte kräver en användares lösenord i klartext för att autentisera till ett system som använder Kerberos-tickets för autentisering. Attacken grundar sig i att en angripare kan extrahera tickets (TGT eller TGS service tickets) från en dator i nätverket och sedan använda dessa för att autentisera sig mot olika tjänster. Med en användares Ticket Granting Ticket (TGT) kan angriparen skicka förfrågningar till Ticket Granting Server innehållandes TGT:n och få tillbaka TGS service tickets samt sessionsnycklar för olika tjänster i nätverket. Som beskrivet ovan används sedan dessa TGS service tickets och sessionsnycklar för att autentisera sig mot resurser, och på så sätt erhålla samma behörigheter som är kopplade till TGT:n.

Om en angripare däremot endast lyckats extrahera TGS service tickets är angriparens åtkomst begränsad till de specifika resurserna som är knutna till de olika tjänsterna kopplade till service tickets.

Attacken kan dock leda till högre behörigheter än så om angriparen lyckas komma över ytterligare information som sedan kan användas för att generera en så kallad Golden Ticket.

3. Golden Ticket

En framgångsrik Golden Ticket-attack ger, som namnet antyder, en angripare fullständig och obegränsad åtkomst till en hel domän - alla enheter, filer, mappar, och viktigast av allt - systemet för behörighetskontroll.

Attacken kräver att angriparen lyckas komma över lösenordshashen till Kerberos-servicekontot (KRBTGT), vilket tillåter angriparen att generera Ticket Granting Tickets (TGTs) för alla konton i Active Directory-domänen. Med giltiga TGT: er kan angriparen begära åtkomst till alla resurser på sin domän från Ticket Granting Service (TGS). Med andra ord låter en lyckad attack angriparen att kontrollera samtliga resurser knutna till AD-domänen.

4. Silver Ticket

En Silver Ticket-attack tillåter en angripare att skapa falska TGS service tickets och därigenom få tillgång till olika tjänster och resurser i domänen. Attacken kräver en lösenordshash tillhörandes ett servicekonto, vilken angriparen kan dumpa ut från minnet hos en dator i nätverket. Förfalskade tickets kan användas för att exempelvis ta över mailkonton eller komma åt känslig information i delade nätverksmappar.

Då kommunikationen i en Silver Ticket-attack sker direkt med servern som tillhandahåller den specifika tjänsten är denna attack svårare att upptäcka än Golden Ticket-attacker eftersom domänkontrollanten inte är inblandad. Dessutom sker loggningen lokalt på servern.

Även om Silver Tickets är mer begränsade än Golden Tickets kan en angripare med lite uppfinningsrikedom fortfarande använda en Silver Ticket för att göra stor skada i nätverket.

5. Kerberoasting

Denna attack utnyttjar det faktum att samtliga domänanvändare kan begära ut service tickets för tjänster som använder Kerberos-autentisering inom domänen. Service tickets är krypterade med hashen av lösenordet för tjänstens servicekonto, och om detta lösenord är svagt kan hashen knäckas (och lösenordet extraheras) inom rimlig tid.

För att kunna utföra attacken behöver angriparen en giltig Ticket Granting Ticket (TGT), och kan därefter begära ut service tickets, även för användare som inte är kopplade till TGT:n, eller har behörighet till den aktuella tjänsten. Därefter använder angriparen en tabell innehållandes hashar av svaga lösenord för att gissa lösenordet till servicekontot. Detta görs snabbt lokalt på angriparens dator. Då servicekonton ofta har onödigt höga behörigheter tilldelade, är detta ett enkelt sätt för en angripare att erhålla högre behörigheter i domänen.

Så skyddar du ditt Active Directory

För att skydda sig mot ovan nämnda attacker bör stor vikt läggas vid en säker konfiguration av AD:t där behörigheter tilldelas enligt “least privilege”-principen och grupper med höga behörigheter som läggs till automatiskt tas bort eller begränsas i deras åtkomst i nätverket. Behörigheter till delade nätverksmappar är en viktig punkt, då dessa ofta görs åtkomstbara för samtliga autentiserade användare trots att de innehåller känslig information, såsom lösenord.

Attackerna ovan kräver ett användarkonto eller datorkonto i AD:t som grund, vilket en angripare kan tillskansa sig genom phishing eller genom att gissa lösenord med hjälp av ordlistor eller brute-force-attacker. Företag bör därför utbilda sina anställda gällande riskerna med phishing och hur vanliga attacker ser ut, samt ha en lösenordspolicy som kräver starka lösenord.

För att testa säkerheten i sitt AD är det mest effektiva sättet att genomföra pentest, eftersom man genom dessa kan utvärdera vad en angripare skulle kunna åsamka för skada. Dessutom ger testet svart på vitt vilka brister som finns inom ett AD, samt konkreta förslag på åtgärder för att mitigera dessa.

Matrisen nedan beskriver i övergripande drag ett pentest av ett Active Directory. Tidsåtgången för ett test varierar beroende på testets scope, AD-miljöns storlek och förstås kundens behov.

Typ av pentest	Active Directory
Syfte	Ett Active Directory existerar vars användare hanterar system eller information med krav på konfidentialitet, integritet alt. som behöver ha hög tillgänglighet
Targets	* Domänadmin* Local Admin* Känslig info tillgäng för vanliga användare
Djup	Djuplodande
Frekvens	* Årligen by default, samt* Vid betydande förändringar, alt.* Kontinuerligt vid höga säkerhetskrav
Genomförande	On site alt. Remote genom VPN
Förberedelser	Utöver scope samt rapporteringsvägar: skapade interna testkonton, klientdatorer
Vanligt förekommande brister	* Logiska brister pga gruppbehörigheter* Skrivbara gemensamma logon-script* GPO:er som ger användare logiska Admin-rättigheter
Leverabler	Rapport och avrapportering inklusive executive summary, root causes, åtgärdsförslag samt mätvärden på aktuell status
Värde	Compliance-efterlevnad, kontroll på efterlevnad av interna rutiner samt tydligt åskådliggjord detaljerad kontroll på säkerhetsbrister vid testtillfället

Behöver du pentesta ditt Active Directory?

Våra pentestare har erfarenhet från att ha testat Active Directory hos mängder av företag. Oftast hittar de både brister och förbättringspotential, och lämnar bra rekommendationer på hur du stärker din säkerhet.

Läs mer!

Prenumerera på vårt nyhetsbrev

Håll dig uppdaterad inom IT- och informationssäkerhet. Anmäl dig till vårt nyhetsbrev som vi brukar skicka 1-2 gånger i månaden.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.

08-545 333 00
Vi svarar dygnet runt
info@sentor.se
För generella förfrågningar
soc@sentor.se
Använd vår PGP-nyckel