Contas atraentes para roubo de credenciais

Ataques de roubo de credenciais são aqueles em que um invasor obtém inicialmente o acesso de privilégio mais alto (raiz, administrador ou SISTEMA, dependendo do sistema operacional em uso) a um computador em uma rede e, em seguida, usa ferramentas gratuitamente disponíveis para extrair credenciais das sessões de outras contas conectadas. Dependendo da configuração do sistema, essas credenciais podem ser extraídas na forma de hashes, tíquetes ou até mesmo senhas de texto sem formatação. Se uma das credenciais coletadas se referir a contas locais que provavelmente existirão em outros computadores na rede (por exemplo, contas de administrador no Windows ou contas raiz no OSX, no UNIX ou no Linux), o invasor apresentará as credenciais para outros computadores na rede a fim de propagar o comprometimento para outros computadores e tentar obter as credenciais de dois tipos específicos de contas:

  1. Contas de domínio com privilégios amplos e profundos (ou seja, contas que têm privilégios de nível de administrador em vários computadores e no Active Directory). Essas contas podem não ser membros de nenhum dos grupos com privilégios mais elevados do Active Directory, mas podem ter recebido privilégios de nível do Administrador em vários servidores e estações de trabalho no domínio ou na floresta, o que as torna efetivamente tão poderosas quanto membros de grupos privilegiados no Active Directory. Na maioria dos casos, as contas que receberam altos níveis de privilégio em amplas faixas da infraestrutura do Windows são contas de serviço. Portanto, as contas de serviço devem sempre ser avaliadas quanto à amplitude e profundidade do privilégio.

  2. Contas de domínio VIP. No contexto deste documento, uma conta VIP é qualquer conta que tenha acesso às informações que um invasor deseja obter (propriedade intelectual e outras informações confidenciais) ou qualquer conta que possa ser usada para permitir ao invasor acesso a essas informações. Entre os exemplos dessas contas de usuário estão:

    1. Executivos cujas contas têm acesso a informações corporativas confidenciais

    2. Contas da equipe do Suporte Técnico que são responsáveis por manter os computadores e os aplicativos usados pelos executivos

    3. Contas da equipe jurídica que tem acesso aos documentos de licitação e contrato de uma organização, sejam os documentos para a própria organização ou para organizações de clientes

    4. Planejadores de produtos que têm acesso a planos e especificações de produtos no pipeline de desenvolvimento de uma empresa, independentemente dos tipos de produtos que a empresa fabrica

    5. Pesquisadores cujas contas são usadas para acessar dados de estudo, formulações de produtos ou qualquer outra pesquisa de interesse para um invasor

Como as contas altamente privilegiadas do Active Directory podem ser usadas para propagar o comprometimento e manipular as contas VIP ou os dados que elas podem acessar, as contas mais úteis para ataques de roubo de credenciais são as contas que são membros dos grupos Administradores Corporativos, Administradores do Domínio e Administradores no Active Directory.

Como os controladores de domínio são os repositórios do banco de dados do AD DS e os controladores de domínio têm acesso total a todos os dados do Active Directory, os controladores de domínio também são alvos de ataques de comprometimento, seja em paralelo com ataques de roubo de credenciais ou depois que uma ou mais contas altamente privilegiadas do Active Directory foram comprometidas. Embora várias publicações (e muitos invasores) se concentrem nas associações ao grupo Administradores do Domínio ao descrever ataques Pass-the-Hash e outros ataques de roubo de credenciais (conforme descrito em Como reduzir a superfície de ataque do Active Directory), uma conta que seja membro de um dos grupos listados aqui pode ser usada para comprometer toda a instalação do AD DS.

Observação

Para obter informações abrangentes sobre o ataque Pass-the-Hash e outros ataques de roubo de credenciais, confira o white paper Como atenuar ataques PtH (Pass-the-Hash) e outras técnicas de roubo de credenciais listado no Apêndice M: Links de documentos e leitura recomendada. Para obter mais informações sobre ataques de adversários determinados, que às vezes são chamados de "APTs" (ameaças persistentes avançadas), confira Adversários determinados e ataques direcionados.

Atividades que aumentam a probabilidade de comprometimento

Como o alvo do roubo de credenciais geralmente são contas de domínio altamente privilegiadas e contas VIP, é importante que os administradores estejam conscientes das atividades que aumentam a probabilidade de sucesso de um ataque de roubo de credenciais. Embora os invasores também tenham como alvo contas VIP, se os VIPs não receberem altos níveis de privilégio em sistemas ou no domínio, o roubo das credenciais exigirá outros tipos de ataques, como a engenharia social do VIP para fornecer informações secretas. Ou o invasor precisa primeiro obter acesso privilegiado a um sistema no qual as credenciais VIP são armazenadas em cache. Por isso, as atividades que aumentam a probabilidade de roubo de credenciais descritas aqui se concentram principalmente na prevenção da aquisição de credenciais administrativas altamente privilegiadas. Essas atividades são mecanismos comuns pelos quais os invasores podem comprometer sistemas para obter credenciais privilegiadas.

Fazer logon em computadores não seguros com contas privilegiadas

A principal vulnerabilidade que permite o sucesso dos ataques de roubo de credenciais é o ato de fazer logon em computadores que não são seguros com contas ampla e profundamente privilegiadas em todo o ambiente. Esses logons podem ser o resultado de várias configurações incorretas descritas aqui.

Não manter credenciais administrativas separadas

Embora isso seja relativamente incomum, ao avaliar várias instalações do AD DS, encontramos funcionários de TI usando uma só conta para todo o trabalho. A conta é membro de, no mínimo, um dos grupos mais privilegiados do Active Directory e é a mesma conta que os funcionários usam para fazer logon nas estações de trabalho pela manhã, verificar emails, navegar em sites da Internet e baixar conteúdo nos computadores. Quando os usuários usam contas que recebem direitos e permissões de Administrador local, eles expõem o computador local a um comprometimento completo. Quando essas contas também são membros dos grupos mais privilegiados do Active Directory, elas expõem toda a floresta ao comprometimento, tornando relativamente fácil para um invasor obter controle completo do ambiente do Active Directory e do Windows.

Da mesma forma, em alguns ambientes, descobrimos que os mesmos nomes de usuários e senhas são usados para contas raiz em computadores não Windows, como são usados no ambiente Windows, o que permite que os invasores estendam o comprometimento de sistemas UNIX ou Linux para sistemas Windows e vice-versa.

Logons em estações de trabalho comprometidas ou servidores membro com contas privilegiadas

Quando uma conta de domínio altamente privilegiada é usada para fazer logon de maneira interativa em uma estação de trabalho comprometida ou um servidor membro, esse computador comprometido pode coletar as credenciais de qualquer conta que faça logon no sistema.

Estações de trabalho administrativas não protegidas

Em muitas organizações, a equipe de TI usa várias contas. Uma conta é usada para logon na estação de trabalho do funcionário e, como eles são funcionários de TI, eles geralmente têm direitos de Administrador local nas estações de trabalho. Em alguns casos, o UAC é deixado habilitado para que o usuário, no mínimo, receba um token de acesso dividido em logon e precise elevá-lo quando os privilégios forem necessários. Quando esses usuários executam atividades de manutenção, normalmente usam ferramentas de gerenciamento instaladas no local e fornecem as credenciais para as contas com privilégios de domínio selecionando a opção Executar como Administrador ou fornecendo as credenciais quando solicitado. Embora essa configuração possa parecer apropriada, ela expõe o ambiente ao comprometimento porque:

  • A conta de usuário "comum" que o funcionário usa para fazer logon na estação de trabalho tem direitos de Administrador local, e o computador fica vulnerável a ataques de drive-by download, nos quais o usuário é convencido a instalar um malware.
  • O malware é instalado no contexto de uma conta administrativa, e o computador já pode ser usado para capturar pressionamentos de teclas, conteúdo da área de transferência, capturas de tela e credenciais de residente de memória, qualquer um dos quais pode resultar na exposição das credenciais de uma conta de domínio poderosa.

Os problemas nesse cenário são duplos. Primeiro, embora contas separadas sejam usadas para a administração local e de domínio, o computador não está seguro e não protege as contas contra roubo. Em segundo lugar, a conta de usuário comum e a conta administrativa receberam direitos e permissões excessivas.

Como navegar na Internet com uma conta altamente privilegiada

Os usuários que fazem logon em computadores com contas que sejam membros do grupo local Administradores no computador ou membros de grupos privilegiados no Active Directory e que navegam pela Internet (ou uma intranet comprometida) expõem o computador local e o diretório ao comprometimento.

Acessar um site mal-intencionado com um navegador em execução com privilégios administrativos pode permitir que um invasor deposite um código mal-intencionado no computador local no contexto do usuário privilegiado. Se o usuário tiver direitos de Administrador local no computador, os invasores poderão enganar o usuário para que ele baixe um código mal-intencionado ou abra anexos de email que aproveitam as vulnerabilidades do aplicativo e aproveitam os privilégios do usuário para extrair as credenciais armazenadas em cache localmente de todos os usuários ativos no computador. Se o usuário tiver direitos administrativos no diretório por associação aos grupos Administradores Corporativos, Administradores do Domínio ou Administradores no Active Directory, o invasor poderá extrair as credenciais de domínio e usá-las para comprometer todo o domínio ou a floresta do AD DS, sem a necessidade de comprometer nenhum outro computador na floresta.

Como configurar contas com privilégios locais com as mesmas credenciais entre sistemas

Configurar o mesmo nome e senha da conta de Administrador local em muitos ou todos os computadores permite que as credenciais roubadas do banco de dados SAM em um computador sejam usadas para comprometer todos os outros computadores que usam as mesmas credenciais. No mínimo, você deve usar senhas diferentes para contas de Administrador local em cada sistema ingressado no domínio. As contas de Administrador local também podem ser nomeadas exclusivamente, mas o uso de senhas diferentes para contas locais privilegiadas de cada sistema é suficiente para garantir que as credenciais não possam ser usadas em outros sistemas.

Superpopulação e uso excessivo de grupos de domínio privilegiados

A concessão de associação nos grupos EA, DA ou BA em um domínio cria um alvo para os invasores. Quanto maior o número de membros desses grupos, maior a probabilidade de um usuário privilegiado usar inadvertidamente as credenciais e expô-las a ataques de roubo de credenciais. Cada estação de trabalho ou servidor no qual um usuário de domínio privilegiado faz logon apresenta um possível mecanismo pelo qual as credenciais do usuário privilegiado podem ser coletadas e usadas para comprometer o domínio e a floresta do AD DS.

Controladores de domínio mal protegidos

Os controladores de domínio abrigam uma réplica do banco de dados do AD DS de um domínio. No caso de controladores de domínio somente leitura, a réplica local do banco de dados contém as credenciais apenas para um subconjunto das contas no diretório, nenhuma das quais são contas de domínio privilegiadas por padrão. Em controladores de domínio de leitura/gravação, cada controlador de domínio mantém uma réplica completa do banco de dados do AD DS, incluindo credenciais não apenas para usuários privilegiados como Administradores do Domínio, mas contas privilegiadas, como as contas de controlador de domínio ou a conta Krbtgt do domínio, que é a conta associada ao serviço KDC nos controladores de domínio. Se aplicativos adicionais que não são necessários para a funcionalidade do controlador de domínio forem instalados em controladores de domínio ou se os controladores de domínio não forem rigorosamente corrigidos e protegidos, os invasores poderão comprometê-los por meio de vulnerabilidades sem patches ou aproveitar outros vetores de ataque para instalar um software mal-intencionado diretamente neles.

Elevação e propagação de privilégios

Independentemente dos métodos de ataque usados, o Active Directory sempre é alvo quando um ambiente do Windows é atacado, pois ele controla o acesso ao que os invasores quiserem. No entanto, isso não significa que todo o diretório seja alvo de ataques. Contas, servidores e componentes de infraestrutura específicos geralmente são os principais alvos de ataques contra o Active Directory. Essas contas são descritas a seguir.

Contas com privilégios permanentes

Devido à introdução do Active Directory, foi possível usar contas altamente privilegiadas para criar a floresta do Active Directory e delegar direitos e permissões necessárias para executar a administração diária para contas com menos privilégios. A associação aos grupos Administradores Corporativos, Administradores do Domínio ou Administradores no Active Directory é necessária apenas temporariamente e raramente em um ambiente que implementa abordagens de privilégios mínimos para a administração diária.

As contas com privilégios permanentes são contas que foram colocadas em grupos privilegiados e mantidas assim diariamente. Se a sua organização colocar cinco contas no grupo Administradores do Domínio de um domínio, essas cinco contas poderão ser alvos de ataques 24 horas por dia, sete dias por semana. No entanto, a necessidade real de usar contas com privilégios de Administradores do Domínio normalmente é apenas para a configuração específica em todo o domínio e por curtos períodos.

Contas VIP

Um alvo muitas vezes ignorado em violações do Active Directory são as contas VIPs de uma organização. As contas privilegiadas são alvos porque podem permitir acesso aos invasores, o que permite que eles comprometam ou até destruam sistemas direcionados, conforme já descrito nesta seção.

Contas "anexadas a privilégios" do Active Directory

As contas "anexadas a privilégios" do Active Directory são contas de domínio que não se tornaram membros de nenhum dos grupos que têm os níveis mais altos de privilégio no Active Directory, mas que receberam altos níveis de privilégio em muitos servidores e estações de trabalho no ambiente. Em geral, essas contas são contas baseadas em domínio configuradas para executar serviços em sistemas ingressados no domínio, normalmente para aplicativos em execução em grandes seções da infraestrutura. Embora essas contas não tenham privilégios no Active Directory, se receberem privilégios elevados em um grande número de sistemas, poderão ser usadas para comprometer ou até destruir grandes segmentos da infraestrutura, alcançando o mesmo efeito que o comprometimento de uma conta privilegiada do Active Directory.