Come proteggere Active Directory: le basi

La maggior parte delle aziende si serve di Microsoft Active Directory (in breve, AD) per le proprie attività. Ma che cosa fa esattamente questo strumento?

In parole povere, mette in collegamento i dipendenti con le risorse presenti sulla rete aziendale, come le e-mail o le condivisioni di file. Inoltre viene utilizzato dagli amministratori per gestire le autorizzazioni utente, autenticare gli utenti all’accesso e determinare le risorse consentite per ciascuno.

AD ha molti vantaggi: è facile da usare, è sul mercato da tanti anni ed è estremamente affidabile. Ma molte aziende non ne conoscono gli svantaggi, che purtroppo non mancano, in particolare sul piano della sicurezza.

Breve storia di Active Directory

Prima del lancio di AD nel 2000, i server di directory IT di Microsoft non erano abbastanza scalabili per soddisfare le esigenze delle medie e grandi imprese. Ecco perché erano necessari così tanti server. Basti pensare che un’azienda con 1000 dipendenti circa poteva aver bisogno di 200 server diversi.

Insomma non era un modello sostenibile, per due motivi. Gestire tutti i singoli server non era per niente facile, considerando che ciascuno richiedeva credenziali di accesso univoche. In più, i server non comunicavano bene tra di loro, per cui operazioni come la condivisione di file erano un problema.

AD ha risolto la situazione. Grazie alla possibilità di integrarsi con le applicazioni e accedere tramite Single Sign-On nell’intero ambiente aziendale, ha rivoluzionato il modo di utilizzare la rete, diffondendosi ovunque.

Per vent’anni ha dominato incontrastato. Pur essendo una tecnologia datata, Active Directory non è scomparso, anzi continua ad avere un’importanza cruciale. Infatti è alla base della maggior parte dei sistemi di identità su cloud usati dalle aziende di tutto il mondo.

Ma per quanto sia ancora uno strumento essenziale, non bisogna sottovalutarne i rischi sul piano della sicurezza.

Perché Active Directory oggi è un problema

AD è vulnerabile per diversi motivi.

Primo, non è stato progettato per far fronte a minacce di sicurezza complesse. Quando è stato rilasciato, i ransomware non esistevano, non c’erano gruppi di utenti malintenzionati sostenuti da governi nazionali e il cloud computing non era così diffuso. È una tecnologia che risponde alle esigenze di un’altra epoca e, pertanto, non è in grado di contrastare molte delle sofisticate minacce dei giorni nostri.

Secondo, è stato ideato per semplificare le operazioni di autenticazione. Infatti la priorità era rendere fluida l’esperienza utente. Tuttavia, questa facilità d’uso è stata un’arma a doppio taglio per chi doveva proteggere il sistema. Il motivo è che ci sono poche barriere per impedire agli utenti malintenzionati di infiltrarsi.

Terzo, essendo un prodotto datato, in molti casi si sono accumulati oltre 20 anni di decisioni di sicurezza blande, per ragioni di convenienza, ma che hanno creato un bersaglio facile da colpire anche per gli utenti malintenzionati meno esperti.

Non c’è quindi da stupirsi se le vulnerabilità di AD mettono a rischio di violazioni della sicurezza circa il 90% delle aziende e se 9 attacchi su 10 prendono in qualche modo di mira AD.

Queste statistiche sono agghiaccianti, così come la semplicità dei metodi di attacco usati per colpire AD. Vediamo passo passo come avviene un attacco.

1 – Viene mandata un’e-mail di phishing
Tutto ha inizio con un’e-mail o un messaggio di phishing. L’obiettivo è ingannare il destinatario e farsi rivelare informazioni sensibili, come le credenziali di Active Directory.

2 – Si cercano di ottenere privilegi più elevati sul PC compromesso
Sfruttando le vulnerabilità del dispositivo, gli utenti malintenzionati possono ottenere privilegi più elevati in vari modi.

3 – Active Directory viene utilizzato per trovare altri dispositivi
AD diventa quindi il mezzo per trovare altri computer e mappare tutte le macchine collegate e utilizzate nella rete attaccata.

4 – Vengono presi di mira altri dispositivi
A questo punto, gli utenti malintenzionati si muovono nella rete per compiere attività di ricognizione difficili da rilevare, attaccando molte macchine fino a trovare quella con diritti di amministratore.

5 – Si prende il controllo di un account con privilegi
Infine, una volta entrati in possesso delle credenziali di un account amministratore o con privilegi avanzati, gli utenti malintenzionati prendono il controllo di Active Directory e di tutte le risorse collegate.

Un tipo diffuso di attacco ad AD prende il nome di attacco golden ticket. Tutti ci ricordiamo il biglietto dorato del famoso libro La fabbrica di cioccolato (1964) del grande scrittore, sceneggiatore e aviatore britannico Roald Dahl. Nel mondo digitale, i golden ticket sono la chiave per avere accesso all’ambiente informatico di un’organizzazione: un golden ticket permette agli autori dell’attacco di fingersi utenti con credenziali di amministratore ed entrare liberamente nelle risorse in rete, restando nell’ambiente per un tempo indefinito.

Quali sono i punti deboli di Active Directory

AD non è solo un bersaglio facile da colpire, ma promette anche un ricco bottino agli utenti malintenzionati. In AD sono custodite le “chiavi del tuo regno”, è un po’ come la cassaforte in cui metti le chiavi della tua azienda. È il punto centrale che consente l’accesso ai tuoi sistemi più importanti (computer, applicazioni software e così via).

Gli attacchi a questo sistema sono particolarmente pericolosi perché non sono solo semplici da effettuare, ma sono anche redditizi. Per dare un’idea concreta, un attacco che nel 2021 ha compromesso il sistema AD di un’azienda ha fruttato un riscatto da ben 40 milioni di dollari.

Nel frattempo, le barriere contro l’infiltrazione di utenti malintenzionati sono sempre più fragili. Con il boom dei RaaS (Ransomware-as-a-Service), anche gli hacker in erba possono sferrare un attacco, servendosi degli strumenti e dei servizi messi a disposizione da cybercriminali più esperti.

È un ciclo con effetti devastanti. Le ricompense per gli utenti malintenzionati sono sempre più alte, le conoscenze tecniche necessarie sempre più basse e la superficie di attacco sempre più estesa.

È facile capire perché, secondo uno studio sui ransomware del 2021 condotto dall’International Data Corporation, più di un terzo di aziende che operano in tutto il mondo (il 37%) ha subito un attacco ransomware. Purtroppo, le probabilità sono a favore degli utenti malintenzionati.

Come possono rispondere le aziende

Le aziende devono quindi “darsi una mossa”. Per ridurre al minimo le vulnerabilità, bisogna innanzitutto capire quali sono i punti deboli. Per molte aziende può essere un processo complesso, specialmente per le piccole imprese che hanno al massimo una vaga idea su come proteggere i sistemi informatici. Per fortuna ci sono soluzioni sul mercato che offrono un valido aiuto.

Una di queste è Purple Knight. Sviluppato e gestito da un gruppo di esperti di identità di Microsoft per valutare la sicurezza di AD, consente di individuare e correggere le vulnerabilità prima che siano sfruttate da utenti malintenzionati.

Nell’ultimo report di Purple Knight sono elencate le possibili vulnerabilità. Ecco alcuni esempi per chi ha poca esperienza:

– Modifica della configurazione
Anni di prassi poco lungimiranti nella gestione di AD possono portare a modifiche della configurazione. Per garantire il funzionamento delle applicazioni, queste vanno configurate in AD, ma è un processo che richiede tempo. Per fare prima, le aziende tendono ad assegnare molti diritti di amministratore pur di vedere subito in funzione una nuova applicazione. Di conseguenza, gli account da amministratore si accumulano e basta che uno sia compromesso per scatenare conseguenze devastanti.

– Account amministratore obsoleti
Anche gli account amministratore obsoleti pongono lo stesso problema. Sono come scheletri nell’armadio. Se un utente malintenzionato riesce ad accedervi, prima o poi tornerà per perseguitarvi.

– Password deboli o comuni
Spesso gli utenti malintenzionati provano a utilizzare password molto comuni su più account per accedervi. Questo tipo di attacco, noto con il nome di “password spraying”, può essere bloccato semplicemente utilizzando password complesse.

È chiaro che identificare e risolvere queste vulnerabilità è solo una piccola parte della risoluzione del problema. Per contrastare in maniera efficace la crescente minaccia del cybercrime nel lungo periodo, le aziende devono adottare tutta una serie di best practice. Condurre regolarmente verifiche interne di sicurezza, migliorare le procedure operative, formare il personale sul phishing e investire in tecnologie per il ripristino sono solo alcune delle best practice che possono aiutare le aziende a riprendersi in fretta nell’eventualità di un attacco. Per assistenza o istruzioni su come sviluppare una forte linea difensiva, il nostro consiglio è di rivolgersi a professionisti esperti nella sicurezza di Active Directory per capire con precisione dove intervenire.

Gli attacchi ad AD non sono più un’ipotesi remota. Soltanto risolvendo le vulnerabilità nell’ambiente di AD le aziende avranno una chance di farcela. Altrimenti resteranno dei bersagli facili da colpire, con tutte le terribili conseguenze del caso.