CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

Solarwinds-angrebet beviser, at Active Directory stadig er en effektiv vej ind for it-kriminelle

Klumme: Nye beviser tyder på, at de it-kriminelle bag Solarwinds har brugt identitetssystemet Active Directory til at komme ind og herfra skabe ravage. Men det kunne være undgået.

26. august 2021 kl. 10.30
Fredrik Hornell Fredrik Hornell Nordeuropæisk salgsdirektør for Semperis

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

I december 2020 sendte forsyningskædeangrebet mod Solarwinds chokbølger igennem it-fællesskabet.

Bølgerne fortsatte ind i 2021, fordi det, der allerede dengang blev set som et sofistikeret angreb på den digitale forsyningskæde, siden har taget nye drejninger.

Nye beviser tyder nemlig på, at de it-kriminelle har brugt identitetssystemet, Active Directory (AD), til at komme ind og herfra skabe ravage.

I følge cybersikkerheds- og infrastruktursikkerhedsagenturet (CISA) havde de it-kriminelle kompromitteret eller omgået Solarwinds identitetssystem, hvorefter de via forfalskede godkendelsestokens kunne bevæge sig videre til Microsoft-cloudmiljøerne.

Herfra udnyttede de brugernes privilegerede adgang til cloudmiljøet og via Application Programming Interfaces (API) kunne de komme videre uden at blive opdaget. Det er nemlig svært at registrere.

Mens Solarwinds Orion-svagheden blev udnyttet, så havde de også en anden vej ind.

Nemlig den gammelkendte metode, der består i at gætte adgangskoder, bruge ’password spraying’ eller udnytte usikre administrator-rettigheder.

Herefter var det enkelt at misbruge de indbyggede Windows-værktøjer og -teknikker, f.eks. WMI (Windows Management Instrumentation), til at få adgang til tjenesten, Microsoft Active Directory Federated Services (AD FS), hvorfra de kunne forfalske godkendelsestokens.

En klar advarsel

Solarwinds-angrebet tjener som en advarsel om, at on-premise identitetssystemer i stigende grad vil blive misbrugt til at få uretmæssig adgang til en virksomheds cloudmiljøer.

It-sikkerhedsfolk har en tendens til at fokusere på de mest sofistikerede angrebsteknikker, men i bund og grund er de it-kriminelle på udkig efter den nemmeste måde at komme ind.

Også denne gang.

Selv de mest komplicerede it-angreb udnytter svage adgangskoder og ubeskyttede legitimationsoplysninger.

Da de it-kriminelle først var kommet ind i SolarWinds it-system, fulgte de den klassiske angrebssekvens: udvid lokale privilegier, rekognoscering, vandret bevægelse igennem systemet og eskalering.

Alt dette kunne være blevet stoppet, havde man fulgt god it-sikkerhedspraksis.

Selv om SolarWinds-angrebet er blevet et symbol på det øgede trusselslandskab, som statslige organisationer og globale virksomheder står over for, så er det også en vigtig påmindelse om at have en god it-sikkerhedspraksis.

Anbefalingerne

Uretmæssig adgang til ens it-miljø skal ikke være så nem. Det kræver bl.a. en ordentlig adgangspolitik til ens identitetssystem, ens Active Directory.

Microsoft har følgende anbefaling til at hærde Azure AD mod angreb:

  • Tillad ikke at brugere kan give adgang til applikationer, der ikke er under overvågning
  • Aktivér hashsynkronisering af adgangskoder, hvis hybrid
  • Aktivér politik og bloker gamle godkendelser
  • Aktivér mulighed for nulstilling af adgangskode
  • Sørg for, at alle brugere kan bruge multifaktorgodkendelse for sikker adgang
  • Kræv multifaktorgodkendelse for administratorroller
  • Slå log ind-risikopolitik til
  • Slå brugerrisikopolitik til
  • Begræns administratorrollerne
  • Implementer lokal Azure AD-adgangskodebeskyttelse for at fjerne almindelige adgangskoder fra AD
Hvis en it-kriminel omgår godkendelseskontrollerne og får administrator-adgang til Active Directory, så kræver det fuld monitorering af AD-miljøet – både om-premise og i skyen – at registrere et brud og kunne reagere på det.

I en barsk verden med statsstøttede it-kriminelle og avancerede trusler, så er konstant overvågning af ens identitetssystem nødvendig for at kunne opdage uautoriseret adfærd, så man kan forebygge, registrere og stoppe et it-angreb hurtigst muligt.

Det er også en god idé at foretage regelmæssige scanninger af ens AD for at identificere eventuelle svage konfigurationer, som it-kriminelle kan udnytte, gennemgå tilladelser, bruge komplekse adgangskoder, anvende princippet om færrest mulige rettigheder og udrulning af sikkerhedsopdateringer så hurtigt, som muligt.

Så længe it-kriminelle kan komme ind ved at gætte adgangskoder, password spraye eller bruge andre simple teknikker, så vil de fortsat bruge dem.

Her er effektive sikkerhedskontroller nu at foretrække.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Andreas Kiær
Andreas Kiær
Kenneth Fuglsang Christensen
Kenneth Fuglsang Christensen
Mogens Nørgaard
Mogens Nørgaard
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
opinion
Andreas Kiær
Andreas Kiær
Mangler du it-ressourcer? – så er du nok selv skyld i det. For der er masser af arbejdskraft at tage af
Læs indlæg
Artikel teaser billede

Kenneth Fuglsang Christensen

Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med

Artikel teaser billede

Jonathan Løw

Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?

Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Mest læste klummer og blogs
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Klumme: Hvis der er en kollektiv løgn, som nordsjællænderne og djøferne har påduttet os alle sammen, så er det dén med, at løn og dygtighed hører sammen. Selvfølgelig er det komplet nonsens, og vi ved det alle sammen.
Af: Mogens Nørgaard
Mangler du it-ressourcer? – så er du nok selv skyld i det. For der er masser af arbejdskraft at tage af
Klumme: Hvorfor er det, at mangel på erfarne it-specialister fik 35 procent af danske it-firmaer til at sige nej til opgaver sidste år, når løsningen på dette er tilgængelig i dag og ofte ikke kræver andet end en holdningsændring i virksomhederne?
Af: Andreas Kiær
Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser
Klumme: Det kræver grundige overvejelser, når man som virksomhed skal sikre, at man lever op til lovgivningen fra 1. juli. Det kan måske virke uoverskueligt, når man både skal have styr på it og selve bogføringsprocesserne – især, hvis man ikke har et stort bogholderi. Her kommer tre gode råd.
Af: Kenneth Fuglsang Christensen
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Læs indlæg

Premium
Teaser billede
Salling Group sparer kassen på konsulenter ved selv at uddanne SAP-specialister
Læs mere »
Køb et phishing-angreb for to dollar: I Asien samles hackere i 'cybercrime-byer'
Sår tvivl om Netcompanys forklaring efter kæmpelæk af data: 34-årig varetægtsfængsles fire uger mere
På denne dato er det slut med udbredte versioner af Office: Microsoft vil have dig over på de dyrere E3-licenser
Se alle »
Computerworld
Teaser billede
På tur i BMW's mægtigste elbil: Sådan er livet ombord i en monumental million-ellert
Læs mere »
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Porno-giganterne Pornhub og XVideos skal indlevere materiale til EU
Se alle »
CIO
Teaser billede
Nu kan mange flere opgradere deres gamle Windows 10-pc'er til Windows 11: Se om du kan opgradere
Læs mere »
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Danske CloudNordic går konkurs efter stort ransomware-angreb
På denne dato er det slut med udbredte versioner af Office: Microsoft vil have dig over på de dyrere E3-licenser
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Så meget tjener cheferne i den danske it-branche: Halvdelen får mere end 77.000 kroner om måneden
Se alle »
White paper
Teaser billede
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Læs mere »
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Sådan høster du forretningsfordelene ved Internet of Things
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »