Zakaj MFA odpove znotraj omrezja: vrzeli overitve AD, ki jih napadalci izkoriščajo

Organizacije mocno vlozijo v vecfaktorsko overitev za svoj zunanji obod. Dostop VPN zahteva MFA. Oblacne aplikacije zahtevajo MFA. Oddaljena namizja imajo MFA. Vodstvo se pocuti samozavestno, ker njihove varnostne nadzorne plosce kazejo 100% pokritost z MFA. Nato zanem interni penetracijski test in kompromitiram celotno domeno brez sprožanja enega samega poziva MFA.

Neprijetna resnica je, da MFA, kot ga vecina organizacij uvede, sciti samo obod. Ko je napadalec znotraj omrezja -- prek lažnega sporocila, kompromitiranega VPN-ja, nepooblascene naprave ali napada na dobavno verigo -- se overitev Active Directory v celoti zanaša na gesla in vstopnice Kerberos. Brez drugega faktorja. Brez dodatne preveritve. Samo zgoscena vrednost gesla ali vstopnica, in sem notri.

Kje MFA ne velja

Za razumevanje te vrzeli morate razumeti, kateri protokoli overitve se dejansko uporabljajo znotraj tipicnega korporativnega omrezja. NTLM overitev uporablja zgoscene vrednosti gesel. Ni mehanizma za vstavljanje MFA v tok izziv-odgovor NTLM. Ko izvajam napade pass-the-hash ali NTLM relay, je MFA popolnoma nepomemben, ker ga protokol ne podpira.

Overitev Kerberos uporablja vstopnice, ki jih izda Key Distribution Center na krmilniku domene. Zacetna zahteva za vstopnico (AS-REQ) potrdi geslo uporabnika, a ni vgrajenega mehanizma za drugi faktor. Ko imam veljaven TGT -- bodisi prek Kerberoastinga, pass-the-ticket ali ponarejanja zlate vstopnice -- lahko zahtevam servisne vstopnice za katerikoli vir brez dodatnih izzivov overitve.

SMB, WMI, oddaljeni PowerShell, RDP na streznike, poizvedbe LDAP in vse druge metode notranje overitve Windows delujejo prek NTLM ali Kerberos. Nobena od njih privzeto ne uveljavlja MFA. To pomeni, da se velika vecina overitev znotraj vasega omrezja zgodi brez kakršnegakoli vecfaktorskega izziva.

Scenariji napadov, ki jih MFA ne more prepreciti

Naj opisem specificne scenarije napadov, ki jih izkoriščam in kjer MFA ne nudi nobene zascite:

Kerberoasting: Zahtevam servisne vstopnice z uporabo kateregakoli veljavnega racuna domene. Vstopnice so sifrirane z zgosceno vrednostjo gesla servisnega racuna. Razbijem jih izven povezave. MFA nima vloge v procesu zahteve TGS Kerberos, zato tega napada ne more prepreciti ali zaznati.

NTLM relay: Prestrezemm NTLM overitev in jo posredujem na drug streznik. Preusmeritev se zgodi na ravni protokola, pod kakrsnokoli integracijo MFA. Tudi ce ima izvorni uporabnik omogocen MFA za interaktivno prijavo, ga preusmerjena overitev popolnoma obvozi.

Pass-the-hash in pass-the-ticket: Izvlecem material poverilnic iz pomnilnika ali diska in ga uporabim za overitev kot uporabnik. Te tehnike v celoti obvojdejo vnos gesla, in ker je MFA obicajno vezan na proces vnosa gesla, se nikoli ne sprozi.

Bocno premikanje: Ko imam veljavne poverilnice, se premikam med napravami z uporabo standardnih orodij oddaljenega dostopa. WMI, PsExec in oddaljeni PowerShell vsi uporabljajo overitev NTLM ali Kerberos brez MFA. Lahko prečkam celotno omrezje z enim samim naborom kompromitiranih poverilnic.

Zapiranje vrzeli: kaj dejansko deluje

Ob sprejemanju dejstva, da tradicionalni MFA ne more zascititi notranje overitve AD, tukaj je, kaj priporocam namesto tega:

Implementirajte Windows Hello for Business: To zamenja overitev na osnovi gesel z overitvijo na osnovi certifikatov ali kljucev, vezano na cip TPM. To je najblizje resnemu MFA za overitev Windows, ker je poverilnica vezana na specificno napravo in podprta s strojno opremo. Napadalec, ki ukrade zgosceno vrednost gesla, je ne more uporabiti z druge naprave.

Uvedite Credential Guard: Windows Credential Guard uporablja varnost na osnovi virtualizacije za izolacijo zgoscenih vrednosti NTLM in vstopnic Kerberos v zascitenem pomnilniskem podrocju, do katerega nimajo dostopa niti lokalni administratorji. To preprecuje napade pass-the-hash in pass-the-ticket na napravah, kjer je omogocen. Moral bi biti uveden na vseh delovnih postajah in streznikih, ki ga podpirajo.

Uporabljajte varnostno skupino Protected Users: Racuni v skupini Protected Users se ne morejo overjati z NTLM, njihove poverilnice ne morejo biti predpomnjene in ne morejo uporabljati sifriranja DES ali RC4 za Kerberos. Dodajte vse privilegirane racune v to skupino. Znatno omeji tehnike kraje poverilnic, ki so na voljo napadalcem.

Omogocite politike overitve in silose: Na voljo v Windows Server 2012 R2 in novejsih, politike overitve lahko omejijo, kje se privilegirani racuni lahko overjajo. Lahko uveljavite, da racuni Domain Admin lahko pridobijo TGT-je samo od specificnih krmilnikov domene in se lahko uporabljajo samo z dolocenih privilegiranih delovnih postaj. To je dejansko kontrola dostopa na omrezni ravni za overitev.

Zaznavanje: kompenzacija za vrzel MFA

Ker MFA ne more zascititi vecine notranje overitve, je kompenzacijsko zaznavanje bistveno. Osredotocite svoje spremljanje na specificne napadalne tehnike, ki obvozijo MFA:

• Spremljajte pass-the-hash z opazovanjem prijav NTLM (dogodek ID 4624, tip prijave 3), kjer se izvorni IP ne ujema s pricakovanimi vzorci za overjen racun.
• Zaznajte Kerberoasting prek dogodka ID 4769 s tipom sifriranja 0x17 (RC4). AES bi moral biti standard, zato so zahteve RC4 anomalne.
• Alarmirajte na uporabo zlatih vstopnic s spremljanjem TGT-jev z nenormalno dolgimi zivljenjskimi dobami ali izdanimi za neobstojece racune.
• Opazujte eskalacijo privilegijev s spremljanjem sprememb privilegiranih skupin (dogodek ID 4728, 4732, 4756) in sprememb obcutljivih objektov AD (dogodek ID 5136).

Premislek notranjih varnostnih predpostavk

Najvecja napaka, ki jo vidim pri organizacijah, je obravnavanje omreznega oboda kot varnostne meje. Vlozijo milijone v obodni MFA in nato predpostavljajo, da je vse znotraj omrezja zaupanja vredno. Ta predpostavka je tista, ki mi omogoca kompromitacijo celotnih domen na vsakem projektu.

Arhitektura brez zaupanja, uveljavljena za Active Directory, pomeni preverjanje vsake overitve ne glede na lokacijo v omrezju. Pomeni predpostavljanje, da je napadalec ze znotraj vasega omrezja, in ustrezno nacrtovanje kontrol. Credential Guard, Protected Users, silosi overitve in agresivno spremljanje niso nadomestki za MFA -- so notranje varnostne kontrole, ki jih MFA nikoli ni bil zasnovan za zagotavljanje. Uvedite jih poleg svojega obodnega MFA in imeli boste okolje, ki ga je resnicno tezko kompromitirati.