L’emergere di un PoC che dimostra lo sfruttamento di alcuni bugs in Windows Active Directory ha creato una certa urgenza nell’applicare correttivi a questi bugs. Si tratta di correttivi già predisposti da Microsoft lo scorso mese. L’implementazione funzionante del PoC è stata resa disponibile su GitHub a poche settimane dal rilascio della patch: questo atto ha innescato il criterio di urgenza. 

È così che Microsoft è stata costretta a lanciare (lo scorso lunedì) una allerta ai sui clienti, perché predispongano urgentemente la correzione alle vulnerabilità collegate al PoC. È risaputo(anche da Microsoft) il cronico ritardo che molti utenti aziendali hanno nell’aggiornare il loro asset, esponendosi così a rischi derivanti da minacce fin troppo note, ma anche facilmente evitabili.  

Le vulnerabilità oggetto di tutto questo interesse sono state registrate come CVE-2021-42287 e CVE-2021-42278 (con gravità 7.5), e come detto già corrette da Microsoft con l’aggiornamento “November 2021 Patch Tuesday”. Le vulnerabilità consentono all’attaccante di ottenere una via diretta all’ottenimento del privilegio di amministratore di dominio (privilege escalation) attraverso il servizio di dominio Windows Active Directory, partendo da un qualsiasi utente di dominio. Tramite il privilegio di amministratore di dominio così ottenuto, la strada per un attaccante è spianata, consentendogli di creare, eliminare utenti così come modificare le loro autorizzazioni o controllare l'autorizzazione e l'autenticazione dei servizi Windows. 

Lo sfruttamento poggia le sue fondamenta sull’attributo sAMAccountName nel Security Account Manager (SAM, il database delle credenziali Windows); questo è il nome di accesso utilizzato per client e server legacy (Windows NT 4.0, W95, W98 e servizi LAN Manager). Pertanto è importante (per rilevare una compromissione) osservare eventi di cambiamento di questo parametro nei sistemi non aggiornati; questo è possibile eseguendo indagini su Event Log (e strumenti di indagine ad esso associati) per l’evento di sistema 4662 (“è stata eseguita una operazione su oggetto”, dove l’oggetto è un SID). È altresì importante (visto quanto potrebbe un amministratore di dominio) osservare la legittimità di eventi 4741 (“è stato creato un account computer”, dove anche in questo caso abbiamo un SID come identificatore). 

Active Directory è il Santo Graal. La sua compromissione, per il ruolo che ricopre, è la compromissione intera di una azienda. La sua protezione deve essere la priorità per qualsiasi organizzazione, indipendentemente dalle altre minacce incombenti e relative ad altri servizi (seppur importanti). Ottenere un privilegio amministrativo su un dominio consente di agire impunemente, lasciando all’attaccante la possibilità di poter tutto e altresì cancellare le prove di questo tutto. Avere come leva di comando un AD consentirebbe il controllo contemporaneo su tutto un asset aziendale, e non solo dell’oggetto della compromissione iniziale. Qualsiasi sia il punto di accesso, la ricerca del controllo di un tale elemento dell’asset è uno dei principali obiettivi di un agente di minaccia che intenda assediare un perimetro aziendale. 

Active Directory quotidianamente paga già un debito di sicurezza indotto dall’introduzione incrementale di misconfiguration create dagli amministratori stessi nella gestione della complessità aziendale; in queste pieghe spesso si intravedono percorsi per lo sfruttamento di AD. Aggiungere anche bug che spianino la strada all’avversario è letteralmente folle: la corsa all’aggiornamento non dovrebbe neanche essere messa in discussione. 

Tweet