Bedrijven kunnen hun AD omgeving doorlichten met “Purple Knight”. De gratis beveiligingsanalyse tool van Semperis kan misconfiguraties en kwetsbaarheden blootleggen die aanvallers in staat stellen om gegevens te stelen en malwarecampagnes te lanceren,
Met Purple Knight, ontwikkeld en beheerd door Microsoft identiteitsdeskundigen, kunnen bedrijven het tij van escalerende aanvallen tegen Active Directory (AD) bestrijden, aldus Semperis. Das Tool spüre Indikatoren für die Verwundbarkeit und Kompromittierung der Umgebung auf und gebe Hinweise zum Schließen von Lücken.
Active Directory sei als zentrale Instanz in 90 Prozent aller Unternehmen weltweit für den Zugriff auf kritische Anwendungen und Daten ein bevorzugtes Ziel für Angreifer und extrem komplex zu sichern. Stealth-aanvallen zouden in toenemende mate gebruik maken van protocollen die in het Windows-besturingssysteem – en AD zelf – zijn ingebouwd om detectie te voorkomen.
De aanvallers die in verband worden gebracht met de aanval van SolarWinds hebben blijkbaar gebruikgemaakt van native Windows-tools zoals Windows Management Instrumentation (WMI) om de certificaatondertekeningsfunctie van AD Federation Services uit te lezen. Da AD nur selten vollständig wirksam gegen Angriffe abgesichert sei, nutzten Angreifer zunehmend unzureichende Konfigurationen, um Angriffswege zu identifizieren, auf privilegierte Anmeldeinformationen zuzugreifen und in Zielnetzwerke einzudringen.
„Wenn man bedenkt, dass 80 Prozent oder mehr der Cyberangriffe den Missbrauch von privilegierten Anmeldeinformationen beinhalten, haben inhärente Active-Directory-Schwachstellen das Potenzial, die gesamte Sicherheitsinfrastruktur eines Unternehmens zu kompromittieren. Dit zet AD-managers en beveiligingsteams onder druk om de bedreigingen voor te blijven,” aldus Mickey Bresman, CEO van Semperis.
“Het beveiligen van AD is echter moeilijk gezien de constante veranderingen en het relatief beperkte aantal AD-specialisten. Om AD te beveiligen, moet je denken als een aanvaller. Met de release van Purple Knight geeft Semperis organisaties inzicht in de beveiligingsstatus van hun AD, met het uiteindelijke doel om hen in staat te stellen hun beveiligingen in twijfel te trekken, kwetsbaarheden te vinden en onmiddellijk actie te ondernemen voordat deze kwetsbaarheden worden misbruikt.”
Om kwetsbaarheden zoals slechte configuraties en beleidsregels te detecteren, ondervraagt Purple Knight de AD-omgeving en voert een reeks niet-invasieve tests uit tegen de meest voorkomende en succesvolle aanvalsvectoren die correleren met bekende beveiligingsframeworks zoals de MITRE ATT&CK. Purple Knight vereist geen speciale installatie, noch speciale permissies. Op basis van vijf centrale beveiligingsaspecten van de AD (delegatie, accountbeveiliging, AD-infrastructuur, groepsbeleid en Kerberos-beveiliging) toont het instrument beveiligingsindicatoren voor de periode vóór, tijdens en na een aanval. Na voltooiing van de analyse wordt een rapport gegenereerd. Deze bevat een algemene risicobeoordeling, de vastgestelde indicatoren voor aanvalsbaarheid en de waarschijnlijkheid van compromittering, evenals een aanbeveling van concrete maatregelen tegen kwetsbaarheden.
Eerste resultaten tonen duidelijke zwakke punten
Volgens Semperis wordt Purple Knight momenteel wereldwijd gebruikt door enkele van de grootste organisaties met de meest complexe omgevingen. Die ersten Ergebnisse des Tools würden zeigen, dass Unternehmen einen durchschnittlichen Security-Score von nur 61 Prozent aufweisen, wobei die Kerberos-Sicherheit mit einer durchschnittlichen Quote von 43 Prozent den größten Risikobereich darstelle.
Weitere Kategorien der ersten Ergebnisse: 58 Prozent für die Group-Policy-Security, 59 Prozent für die Accountsicherheit, 68 Prozent für die AD-Delegation und 77 Prozent für die AD-Infrastructure-Security. Uit de resultaten van deze eerste verslagen was echter ook gebleken dat vooral de grootste ondernemingen, die vaak over de meeste middelen beschikken, kwetsbaar waren voor achterstand bij de beveiliging van hun kritieke identiteitssystemen, alleen al door de omvang en de complexiteit van hun omgevingen.
Enkele typische scenario’s die door Purple Knight aan het licht zijn gebracht en tot AD-kwetsbaarheden leiden, zijn:
- wachtwoordbeleid dat ontoereikend is voor de hedendaagse accountbeveiliging,
- accounts met verhoogde rechten die niet naar behoren zijn gecontroleerd,
- accounts die in de loop der tijd zijn aangemaakt met gedelegeerde rechten via Active Directory, die ongewenste gevolgen hebben voor de beveiliging van AD,
- onvolkomenheden in het gebruik van Kerberos die steeds vaker worden misbruikt om geprivilegieerde toegang te krijgen,
- kwetsbaarheden in de configuratie van Groepsbeleid die enorme en exploiteerbare hiaten creëren.
“Purple Knight voorziet in een behoefte die nog duidelijker is geworden na de hafnium-aanval op Exchange-servers, waardoor Microsoft klanten heeft geadviseerd om hun systemen dringend te scannen op IOE’s en IOC’s”, legt Darren Mar-Elia, VP Products van Semperi, uit. “Elke grote organisatie die al lange tijd over Active Directory beschikt, zal kwetsbaarheden in haar beveiliging hebben, wat betekent dat aanvallers deze na een eerste inbraak gemakkelijk kunnen uitbuiten. Grote, complexe organisaties hebben vaak een spinnenweb van machtigingen die in de loop van de tijd zijn opgebouwd – en geen idee of deze situatie kan worden uitgebuit. Je dicht de gaten en hoopt er het beste van.”
Geleverd via partners
Purple Knight zal aanvankelijk worden geleverd via een netwerk van erkende partners, zei hij. Deze, zo zei hij, hebben het instrument al uitvoerig getest en zijn in een positie om bedrijven te helpen de implicaties van hun specifieke analyse te begrijpen. Bedrijven die liever niet met een partner werken of die momenteel niet met een erkende partner werken, kunnen contact opnemen met Semperis.