Account utente: pericolo nascosto dagli amministratori ombra

9. Maggio 2022
| Non ci sono commenti

Condividi post

Gli account amministratore ombra sono account utente con privilegi elevati che sono stati assegnati inavvertitamente. Se un hacker compromette un account amministratore ombra, ciò rappresenta un rischio elevato per la sicurezza aziendale.Silverfort elenca le migliori pratiche contro gli account con privilegi troppo elevati.

Se un utente malintenzionato può dirottare account privilegiati e accedere ai propri sistemi di destinazione, ciò mette in grave pericolo un'intera rete. Tuttavia, identificare gli amministratori ombra e limitare i loro privilegi non è un compito facile. Quanto segue spiega come emergono gli amministratori ombra e quali misure le aziende possono adottare per contenere efficacemente questa minaccia nascosta.

Ecco come vengono creati gli account amministratore shadow

Errore umano o errata gestione dei diritti dell'utente

Gli amministratori inesperti possono creare amministratori ombra per errore o perché non comprendono appieno le implicazioni delle assegnazioni di autorizzazioni dirette. Anche se non ci sono intenzioni dannose dietro tali account amministratore ombra, possono comunque rappresentare un rischio per l'ambiente consentendo agli utenti l'accesso non autorizzato a risorse sensibili.

Autorizzazioni temporanee che non sono state revocate

Sebbene questa sia considerata una cattiva pratica, in alcuni casi gli amministratori IT concedono agli account autorizzazioni temporanee che rendono gli utenti shadow admin con l'intenzione di rimuovere tali autorizzazioni in un secondo momento. Sebbene ciò possa risolvere problemi immediati, queste autorizzazioni vengono spesso mantenute, lasciando questi account con privilegi amministrativi non presidiati.

Amministratori ombra creati dagli aggressori

Una volta che un utente malintenzionato ottiene privilegi amministrativi, può configurare un account amministratore ombra per nascondere le proprie attività.

In ciascuno dei tre casi di cui sopra, gli amministratori ombra rappresentano un rischio per l'organizzazione in quanto consentono a persone non autorizzate di eseguire attività che non dovrebbero svolgere. Il fatto che questi account non siano monitorati significa non solo che l'accesso ad essi non è limitato perché l'azienda non è a conoscenza della loro esistenza, ma anche che l'accesso e le modifiche non autorizzate possono passare inosservati. In alcuni casi, tali attività vengono scoperte solo quando è già troppo tardi, ad esempio quando un utente malintenzionato sottrae dati sensibili.

Uno sguardo più da vicino agli amministratori ombra

Un amministratore ombra è un utente che non è membro di un gruppo di amministrazione di Active Directory (AD). Tuttavia, questo utente dispone di diritti corrispondenti che gli consentono di acquisire ulteriori competenze amministrative. Questi includono:

  • Diritti di controllo completo (utente o gruppo)
  • Scrivi tutte le proprietà (per un gruppo)
  • Reimposta password (per un utente)
  • Tutti i diritti estesi (per un utente)
  • Modifica autorizzazioni (utente o gruppo)
  • Scrivi membro (per un gruppo)
  • scrivi proprietario (utente o gruppo)
  • Il proprietario effettivo (utente o gruppo)

Inoltre, qualsiasi utente che può assumere il controllo di un amministratore ombra di qualsiasi livello è anch'esso considerato un amministratore ombra. Un esempio:

Amministratore legittimo: Bob è un amministratore di dominio (un membro del gruppo Domain Admins). Ciò significa che Bob ha accesso amministrativo ad Active Directory.

Amministratore ombra di livello 1: Alice non è un membro del gruppo degli amministratori di dominio. Tuttavia, Alice ha la possibilità di reimpostare la password di Bob. Pertanto, Alice può reimpostare la password di Bob, accedere come Bob ed eseguire attività che richiedono privilegi di amministratore di dominio per suo conto. Questo rende Alice un amministratore ombra.

Amministratore ombra di livello 2: Larry può reimpostare la password di Alice. Ciò gli consente di accedere come Alice, modificare a sua volta la password di Bob, quindi accedere come Bob ed eseguire attività che richiedono privilegi di amministratore di dominio. Questo rende Larry un amministratore ombra di secondo livello. E non è solo Larry: potrebbe esserci un altro amministratore ombra che può reimpostare la password di Larry e così via. Un'organizzazione può potenzialmente disporre di un numero elevato di amministratori ombra nella propria rete.

Come rintracciare gli amministratori ombra

Identificare gli amministratori ombra è un problema difficile e complesso. Innanzitutto, i manager devono identificare chi sono i loro amministratori: ovvero tutti gli utenti che appartengono ai gruppi di Active Directory che concedono loro privilegi amministrativi. Alcuni gruppi AD sono ovvi, come il gruppo "Domain Admin". Alcuni gruppi meno, tuttavia, poiché molte organizzazioni creano diversi gruppi amministrativi per diversi scopi aziendali. In alcuni casi ci sono anche gruppi nidificati. È importante catturare tutti i membri di questi gruppi. La mappatura delle appartenenze ai gruppi deve tenere conto non solo delle identità degli utenti visualizzate nell'elenco dei membri, ma anche delle configurazioni degli ID dei gruppi primari degli utenti.

Comprendere i membri dei gruppi amministrativi in ​​Active Directory è un primo passaggio importante, ma non è sufficiente per identificare tutti gli account con privilegi nel dominio. La ragione di ciò è che gli amministratori ombra non sono uno di loro. Per rintracciare gli amministratori ombra, i funzionari devono analizzare le autorizzazioni dell'elenco di controllo di accesso (ACL) concesse a ciascun account.

Analizzare manualmente le autorizzazioni ACL: un'attività senza fine

Come discusso in precedenza, per rintracciare gli amministratori ombra, i responsabili del monitoraggio degli amministratori ombra devono analizzare le autorizzazioni ACL di ciascun account in AD per determinare se l'account dispone delle autorizzazioni per i gruppi amministrativi o per i singoli account amministratore. Questo di per sé è un compito manuale molto difficile, se non impossibile.

Martin Kulendik, direttore vendite regionale DACH di Silverfort

Martin Kulendik, direttore vendite regionale DACH di Silverfort (Immagine: Silverfort).

Se le persone responsabili sono in grado di svolgere questa analisi, ricevono il primo livello di amministratori ombra. Ma non è sufficiente: tutti gli ACL devono ora essere nuovamente analizzati per capire chi ha il permesso di modificare questi amministratori ombra di primo livello. E questo processo deve continuare fino a quando tutti i livelli di amministratori ombra esistenti non saranno scoperti. Se le persone responsabili trovano anche un gruppo di amministratori ombra, questo complica ulteriormente le cose. La linea di fondo è che questa analisi non è un'attività manuale.

UIP: identificazione automatica degli amministratori ombra

Unified Identity Protection è una nuova tecnologia che consolida i controlli di sicurezza IAM esistenti di un'organizzazione e li estende a tutti gli utenti, le risorse e gli ambienti dell'organizzazione. Attraverso la sua architettura senza agente e senza proxy, questa soluzione può monitorare tutte le richieste di accesso da parte di utenti e account di servizio in tutte le risorse e gli ambienti ed estendere l'analisi ad alta precisione basata sul rischio, l'accesso condizionale e le policy di autenticazione a più fattori a tutte le risorse dell'azienda ibrida ambiente da coprire

Le misure di tutela possono essere estese anche a beni che in precedenza non potevano essere tutelati. Questi includono, ad esempio, applicazioni interne e legacy, infrastrutture critiche, file system, database e strumenti di accesso amministrativo come PsExec, che attualmente consentono agli aggressori di aggirare l'MFA basato su agenti.

Piattaforma unificata di protezione dell'identità

Inoltre, una piattaforma unificata di protezione dell'identità identifica automaticamente gli account shadow admin che dovrebbero essere esaminati per determinare se le loro autorizzazioni sono legittime o meno. La tecnologia interroga periodicamente Active Directory per ottenere i vari ACL di tutti gli oggetti nel dominio. Identifica automaticamente i gruppi di amministratori comuni. La soluzione analizza quindi gli ACL alla ricerca di utenti e gruppi di amministratori ombra che hanno gli stessi diritti dei membri di tali gruppi di amministratori, diritti che li rendono effettivamente account/gruppi di amministratori ombra. Il programma analizza gli ACL con la frequenza necessaria per identificare tutti i livelli di account e gruppi di amministratori ombra e garantire che i responsabili abbiano piena visibilità su questi account potenzialmente dannosi.

Gli amministratori AD dovrebbero quindi esaminare questo elenco completo per determinare se le autorizzazioni di questi account e gruppi di amministratori ombra sono legittime e se devono essere limitate o monitorate.

Monitoraggio continuo di tutte le richieste di accesso

Inoltre, una soluzione unificata di protezione dell'identità monitora e analizza continuamente tutte le richieste di accesso all'interno del dominio. Considera gli amministratori ombra come account ad alto rischio. La tecnologia identifica automaticamente e in tempo reale attività sensibili, come un tentativo di reimpostare la password di un utente, emette un avviso o richiede all'utente di verificare la propria identità con l'autenticazione a più fattori (MFA) prima di farlo. Ciò può impedire modifiche non autorizzate agli account utente, nonché l'accesso non autorizzato a risorse sensibili sulla rete.

Con Unified Identity Protection, le organizzazioni possono quindi gestire e proteggere tutte le proprie risorse in tutti gli ambienti con policy e visibilità coerenti per contrastare efficacemente i molteplici vettori di attacco basati sull'identità, inclusi i rischi posti dagli amministratori ombra.

Altro su Silverfort.com

 

A proposito di Silverfort

Silverfort fornisce la prima piattaforma unificata di protezione dell'identità che consolida i controlli di sicurezza IAM nelle reti aziendali e negli ambienti cloud per mitigare gli attacchi basati sull'identità. Utilizzando l'innovativa tecnologia agentless e proxyless, Silverfort si integra perfettamente con tutte le soluzioni IAM, unificando l'analisi dei rischi e i controlli di sicurezza ed estendendo la copertura ad asset che in precedenza non potevano essere protetti, come applicazioni interne e legacy, infrastruttura IT, file system, riga di comando strumenti, accesso da macchina a macchina e altro ancora.

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

Sicurezza digitale: i consumatori hanno più fiducia nelle banche

Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più

Borsa di lavoro nel Darknet: gli hacker cercano insider rinnegati

La Darknet non è solo uno scambio di beni illegali, ma anche un luogo dove gli hacker cercano nuovi complici ➡ Leggi di più

Impianti solari: quanto sono sicuri?

Uno studio ha esaminato la sicurezza informatica degli impianti solari. I problemi includono la mancanza di crittografia durante il trasferimento dei dati, password standard e aggiornamenti firmware non sicuri. tendenza ➡ Leggi di più

Nuova ondata di phishing: gli aggressori utilizzano Adobe InDesign

Attualmente si registra un aumento degli attacchi di phishing che abusano di Adobe InDesign, un sistema di pubblicazione di documenti noto e affidabile. ➡ Leggi di più

racconti
, , , , ,