Active Directory: essentieel, maar ook groot securityrisico
Active Directory (AD) is een essentiële technologie voor de meeste organisaties, vooral nu identiteitsbeheer ook in het mkb groeit en al helemaal zodra organisaties digitaliseren. Deze veelgebruikte tool brengt echter grote securityrisico’s met zich mee. Ransomware-bendes focussen zich vaak op AD vanwege de hoeveelheid gevoelige logingegevens en de gecentraliseerde locatie binnen een netwerk. Daarnaast hebben veel voorkomende aanvalstactieken en -technieken die worden genoemd in het MITRE ATT&CK framework betrekking op AD. Naast deze externe dreigingen zorgt het beheer van zowel lokale als cloud instanties van AD voor meer netwerkcomplexiteit en kan het aanvalsoppervlak van een organisatie hierdoor verdubbelen.
AD is vaak essentieel om gebruikers en hun toegangsrechten binnen een netwerk te beheren, maar het wordt ook snel een ‘must-hack’ voor aanvallers die geavanceerde cyberaanvallen willen uitvoeren. Organisaties zouden er niet vanuit moeten gaan dat AD standaard veilig is, maar moeten het zien als een onderdeel van hun identiteitsinfrastructuur dat consistent moet worden versterkt en beveiligd.
Wat is Microsoft Active Directory?
Microsoft Active Directory (AD) is een directorytool voor systeembeheerders om de netwerktoegang en rechten voor gebruikers te beheren. Het bestaat uit meerdere onderdelen, waaronder Active Directory Domain Services, Active Directory Certificate Services en Active Directory Federation Services.
AD verbindt gebruikers met netwerkbronnen en slaat informatie op als objecten. Dit kunnen individuele gebruikers, groepen of zelfs devices zoals een printer zijn. De tool stelt vervolgens ‘controls’ in voor deze objecten, checkt vooraf ingestelde controls en geeft of weigert toestemming voor bepaalde acties.
Niet alleen kan AD gebruikersgegevens opslaan en toegang verlenen tot verschillende resources, aanvallers kunnen de tool gebruiken om rechten te wijzigen en bekijken hoe het netwerk is geconfigureerd en waar gebruikers toegang toe hebben. In de securitywereld wordt AD vaak de spreekwoordelijke ‘gouden sleutel’ genoemd.
Active Directory en identiteitssecurity
Er zitten twee kanten aan AD als het gaat om identiteitssecurity. Aan de ene kant kunnen organisaties met AD hun IAM-doelstellingen (Identity and Access Management) en initiatieven voor identiteitssecurity implementeren door de rechten van gebruikers en devices in te stellen. Door deze rechten te beperken, kan een organisatie zero-trust modellen en privileged access management (PAM) implementeren. Het creëert ook zichtbaarheid: IT-teams kunnen zien wie, wat en wanneer intern toegang hebben en kunnen wijzigingen aanbrengen om bijvoorbeeld de toegang binnen het netwerk strikter te maken.
De keerzijde is dat de constante configuratietaken overweldigend kunnen zijn voor de toch al overbelaste IT-teams. Bovendien is AD een belangrijk aanvalsdoelwit en een potentiële zwakke plek omdat ook aanvallers de waarde ervan zien. Als aanvallers via een kwetsbaarheid in AD kunnen komen, logingegevens kunnen stelen en rechten kunnen wijzigen, zal de hele identiteitssecuritystructuur van een organisatie verdwijnen. Een aanvaller heeft dat moment vrij spel om te doen en laten wat hij wil.
De securityrisico’s van Active Directory
90% van de Fortune 1000 bedrijven gebruikt AD, maar volgens een recente whitepaper ziet slechts een kwart van deze organisatie de security van AD als topprioriteit. AD heeft diverse zwakke plekken. Het beheer wordt vaak overgelaten aan mensen die geen securityexpert zijn. Voor veel organisaties is AD geen securityprioriteit en IT-teams zijn vaak overbelast of missen specifieke kennis rond AD. AD voegt complexiteit toe aan omgevingen waardoor het aanvalsoppervlak wordt vergroot en is steeds vaker het doelwit van aanvallers. Ook is AD gebouwd op legacy software en bevat het kwetsbaarheden door legacy protocollen en encryptieschema’s. En tot slot, is de 'out-of-the-box' configuratie van AD niet geoptimaliseerd voor security.
Daarnaast zijn er meerdere manieren hoe een aanvaller toegang kan krijgen tot AD. Die manieren zijn te verdelen in twee categorieën, afhankelijk of de aanvaller al interne toegang heeft of nog niet. Indien de aanvaller nog geen interne toegang heeft, zullen ze gebruikmaken van social engineering en wachtwoordaanvallen. Als ze wel toegang hebben, dan kunnen aanvallers gebruikmaken van verschillende technieken zoals:
- ‘Kerberoasting’: deze aanval richt zich op serviceaccounts en misbruikt de Service Principal Name (SPN) van een gebruiker, waardoor de aanvaller de ‘password hash’ van een gebruikersaccount kan verkrijgen en kraken. Hiermee kan een aanvaller zich vervolgens voordoen als een legitieme gebruiker en zich horizontaal door het netwerk bewegen.
- Man-in-the-middle: bepaalde legacy protocollen worden standaard ondersteund door AD en kunnen eenvoudig worden misbruikt via man-in-the-middle-aanvallen. Daarbij wordt een versleuteld authenticatiebericht opgevangen en vervolgens gekraakt of doorgestuurd naar een andere host.
- Pass-the-hash: bij deze tactiek gebruiken aanvallers een programma als MimiKatz, dat misbruik maakt van het authenticatieprotocol door zich voor te doen als een gebruiker en de loginhashes te exporteren vanuit het geheugen.
- Standaard logingegevens: sommige beheerders vergeten de standaard wachtwoorden voor devices en systemen te wijzigen, waardoor aanvallers ook toegang kunnen krijgen met deze wachtwoorden.
- Active Directory priviledge-escalatie: als een aanvaller de inloggegevens van een gebruiker heeft, kan hij deze geforceerd toevoegen aan een AD-gebruikersgroep.
- Misbruik van Active Directory rechten: omdat het beheer van AD omslachtig kan zijn – vooral voor overbelast of onervaren personeel – kunnen sommige gebruikers beschikken over rechten die ze niet zouden moeten hebben. Aanvallers kunnen hier vervolgens misbruik van maken.
Een andere reden waarom aanvallers zich richten op AD heeft te maken met de ‘breakout time’: de tijd die een aanvaller nodig heeft om van de eerste toegang te komen tot laterale bewegingen en priviledge-escalatie. Active Directory geeft aanvallers vaak direct toegang tot andere delen van het netwerk, verkort de breakout time en maakt geavanceerdere aanvallen mogelijk.
Security van Active Directory versterken
De vijf beste manieren waarop organisaties de security van AD kunnen versterken, zijn:
- Wachtwoordbeleid: met sterke wachtwoorden (minstens 12 tekens) kom je al een heel eind om man-in-the-middle en wachtwoordaanvallen te voorkomen. Daarnaast is het noodzakelijk dat gebruikers beseffen hoe belangrijk goede wachtwoordhygiëne is.
- Toegangscontroles en authenticatie: het is essentieel om het aanvalsoppervlak zo klein mogelijk te houden en zo laterale bewegingen te minimaliseren. Multi-factor authenticatie (MFA) en Privileged Access Management (PAM) zijn goede manieren om dit te doen.
- Sterke versleuteling in AD: de basisinstellingen in AD bieden enkel basisversleuteling. Door configuraties aan te scherpen en extra versleuteling toe te voegen, wordt niet alleen de kans dat een aanvaller wachtwoorden kan kraken kleiner, hiermee krijg je ook meer tijd om de initiële toegang van een aanvaller te detecteren.
- Auditeren van rechten en file sharing: zichtbaarheid is belangrijk voor elke securitystrategie – dit geldt ook voor AD. In AD zouden teams ‘security groups’ (een verzameling van gebruikersaccounts die als groep beheerd kunnen worden), ‘privilege escalation paths’, gebruikersrechten en aanvalspaden moeten kunnen analyseren. Een tool die helpt om AD op deze manier in kaart te brengen, is BloodHound.
- 24/7 monitoring: weten dat er verdacht gedrag plaatsvindt, in real-time, kan het verschil betekenen tussen het stoppen van een dreiging en een securityincident met grote gevolgen. Een monitoringoplossing die een securityteam kan waarschuwen over verdacht gedrag is daarom essentieel.
Conclusie
Active Directory (AD) is essentieel voor identiteitsbeheer binnen veel organisaties, maar brengt ook aanzienlijke securityrisico's met zich mee. Om deze risico’s goed te kunnen beheersen, moeten organisaties er niet vanuit gaan dat AD veilig is, maar actief maatregelen nemen zoals een sterk wachtwoordbeleid, toegangscontroles, multi-factor authenticatie, sterke versleuteling, en continue monitoring.
Door: Dan Schiappa (foto), Chief Product and Services Officer bij Arctic Wolf