Solarwinds-angrebet beviser, at Active Directory stadig er en effektiv vej ind for it-kriminelle

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

I december 2020 sendte forsyningskædeangrebet mod Solarwinds chokbølger igennem it-fællesskabet.

Bølgerne fortsatte ind i 2021, fordi det, der allerede dengang blev set som et sofistikeret angreb på den digitale forsyningskæde, siden har taget nye drejninger.

Nye beviser tyder nemlig på, at de it-kriminelle har brugt identitetssystemet, Active Directory (AD), til at komme ind og herfra skabe ravage.

I følge cybersikkerheds- og infrastruktursikkerhedsagenturet (CISA) havde de it-kriminelle kompromitteret eller omgået Solarwinds identitetssystem, hvorefter de via forfalskede godkendelsestokens kunne bevæge sig videre til Microsoft-cloudmiljøerne.

Herfra udnyttede de brugernes privilegerede adgang til cloudmiljøet og via Application Programming Interfaces (API) kunne de komme videre uden at blive opdaget. Det er nemlig svært at registrere.

Mens Solarwinds Orion-svagheden blev udnyttet, så havde de også en anden vej ind.

Nemlig den gammelkendte metode, der består i at gætte adgangskoder, bruge ’password spraying’ eller udnytte usikre administrator-rettigheder.

Herefter var det enkelt at misbruge de indbyggede Windows-værktøjer og -teknikker, f.eks. WMI (Windows Management Instrumentation), til at få adgang til tjenesten, Microsoft Active Directory Federated Services (AD FS), hvorfra de kunne forfalske godkendelsestokens.

En klar advarsel

Solarwinds-angrebet tjener som en advarsel om, at on-premise identitetssystemer i stigende grad vil blive misbrugt til at få uretmæssig adgang til en virksomheds cloudmiljøer.

It-sikkerhedsfolk har en tendens til at fokusere på de mest sofistikerede angrebsteknikker, men i bund og grund er de it-kriminelle på udkig efter den nemmeste måde at komme ind.

Også denne gang.

Selv de mest komplicerede it-angreb udnytter svage adgangskoder og ubeskyttede legitimationsoplysninger.

Da de it-kriminelle først var kommet ind i SolarWinds it-system, fulgte de den klassiske angrebssekvens: udvid lokale privilegier, rekognoscering, vandret bevægelse igennem systemet og eskalering.

Alt dette kunne være blevet stoppet, havde man fulgt god it-sikkerhedspraksis.

Selv om SolarWinds-angrebet er blevet et symbol på det øgede trusselslandskab, som statslige organisationer og globale virksomheder står over for, så er det også en vigtig påmindelse om at have en god it-sikkerhedspraksis.

Anbefalingerne

Uretmæssig adgang til ens it-miljø skal ikke være så nem. Det kræver bl.a. en ordentlig adgangspolitik til ens identitetssystem, ens Active Directory.

Microsoft har følgende anbefaling til at hærde Azure AD mod angreb:

• Tillad ikke at brugere kan give adgang til applikationer, der ikke er under overvågning
• Aktivér hashsynkronisering af adgangskoder, hvis hybrid
• Aktivér politik og bloker gamle godkendelser
• Aktivér mulighed for nulstilling af adgangskode
• Sørg for, at alle brugere kan bruge multifaktorgodkendelse for sikker adgang
• Kræv multifaktorgodkendelse for administratorroller
• Slå log ind-risikopolitik til
• Slå brugerrisikopolitik til
• Begræns administratorrollerne
• Implementer lokal Azure AD-adgangskodebeskyttelse for at fjerne almindelige adgangskoder fra AD

Hvis en it-kriminel omgår godkendelseskontrollerne og får administrator-adgang til Active Directory, så kræver det fuld monitorering af AD-miljøet – både om-premise og i skyen – at registrere et brud og kunne reagere på det.

I en barsk verden med statsstøttede it-kriminelle og avancerede trusler, så er konstant overvågning af ens identitetssystem nødvendig for at kunne opdage uautoriseret adfærd, så man kan forebygge, registrere og stoppe et it-angreb hurtigst muligt.

Det er også en god idé at foretage regelmæssige scanninger af ens AD for at identificere eventuelle svage konfigurationer, som it-kriminelle kan udnytte, gennemgå tilladelser, bruge komplekse adgangskoder, anvende princippet om færrest mulige rettigheder og udrulning af sikkerhedsopdateringer så hurtigt, som muligt.

Så længe it-kriminelle kan komme ind ved at gætte adgangskoder, password spraye eller bruge andre simple teknikker, så vil de fortsat bruge dem.

Her er effektive sikkerhedskontroller nu at foretrække.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.