0
0
Uma lacuna no controle de acesso no serviço Active Directory (AD) da Microsoft pode permitir que os usuários em ambientes Windows acessem domínios além daqueles para os quais foram autenticados, enquanto os administradores de TI não são informados.
AD, serviço de gerenciamento de identidade catchall da Microsoft para autenticação de computadores, impressoras, usuários ou realmente qualquer coisa que participe de um ambiente de TI, é integrado à maioria das redes do tipo domínio do Windows. Dezenas de milhares de organizações usam o serviço, incluindo 90% das empresas globais da Fortune 1000, de acordo com a Frost & Sullivan .
Os administradores de rede usam o AD para gerenciar a autenticação em um domínio, garantindo que os usuários pretendidos — somente os usuários pretendidos — possam acessar os recursos a eles atribuídos — somente aqueles a eles atribuídos.
Em um relatório publicado em 14 de março, no entanto, Charlie Clark, pesquisador de segurança da Semperis, detalhou como um usuário pode escapar das grades de proteção do AD e acessar domínios para os quais não recebeu permissão explicitamente.
“Isso aumenta enormemente a superfície de ataque para um invasor “, explica ele, “e, obviamente, quanto maior a superfície de ataque, mais provável é que um invasor encontre um bug explorável”.
Problema de “confiança transitiva” do MSFT AD
De acordo com a propriedade transitiva da matemática, se a = b e b = c, então a = c.
No AD, se o domínio A se conecta ao domínio B e o domínio B se conecta ao domínio C, os domínios A e C podem ou não ser capazes de acessar um ao outro, dependendo se eles compartilham uma “confiança transitiva”. Conforme declarado na documentação da Microsoft , “a transitividade determina se uma relação de confiança pode ser estendida fora dos dois domínios com os quais foi formada”.
Dois domínios pertencentes a duas organizações diferentes podem ter uma “confiança externa” — uma forma de confiança configurada manualmente no AD, que não é transitiva. No entanto, aqui reside o problema que Clark encontrou: que a confiança externa pode ser usada por uma empresa para acessar domínios irmãos dentro do mesmo grupo (o que a Microsoft chama de “floresta”) como o segundo, para o qual nenhuma confiança externa oficial foi estabelecida, Clark diz.
“Se o que pensávamos sobre confianças não transitivas fosse verdade”, explica Clark, um usuário autenticado de um domínio “só seria capaz de direcionar o domínio específico com o qual ele tem uma relação de confiança. Eles não seriam capazes de se mover a floresta para outros domínios.”
Em vez disso, “qualquer conta dentro do domínio confiável poderá ser autenticada em qualquer domínio dentro da floresta inteira na qual o domínio confiável reside”, escreveu ele em sua análise.
Um usuário mal-intencionado que descobre como explorar uma floresta à vontade pode acessar recursos, acessar contas e encontrar dados que, de outra forma, não deveriam.
“Ele permite que um invasor tenha uma superfície de ataque muito maior de qualquer conta com poucos privilégios em um domínio confiável”, raciocina Clark, porque “se você conseguir controlar um único domínio dentro de uma floresta, é muito fácil controlar todo floresta.”
Clark relatou pela primeira vez suas descobertas à Microsoft em 4 de maio de 2022. Em 29 de setembro, a Microsoft escreveu em um e-mail que “determinamos que este envio não atende à definição de vulnerabilidade de segurança para manutenção. Este relatório não parece identificar um ponto fraco em um produto ou serviço da Microsoft que permitiria a um invasor comprometer a integridade, disponibilidade ou confidencialidade de uma oferta da Microsoft.” Com isso, a empresa encerrou o caso.
“Fornecemos muitos mecanismos para limitar o acesso a recursos ao usar relações de confiança externas em um ambiente de confiança de floresta”, explicou um porta-voz da Microsoft. “Por exemplo, aplicando uma política de autenticação a recursos em qualquer granularidade para permitir ou negar autenticação com base em qualquer descritor de segurança. Os clientes também podem definir uma postura de negação por padrão que permite apenas que esses usuários se autentiquem em contas nas quais o usuário tem permissão para autenticação . Estamos continuamente pesquisando maneiras de melhorar a segurança para versões futuras. Mais informações estão disponíveis em nossa documentação de política de autenticação .”
Por que a confiança é importante
Clark trabalhou como administrador de sistemas por mais de 15 anos e como pen tester por seis. “Todas as empresas ou infraestruturas de médio a grande porte com as quais trabalhei tinham trusts externos”, afirma. Por essa lógica, a maioria dos clientes do AD provavelmente está em risco agora, alega ele, se proteções adicionais não forem implementadas.
Deixando de lado as recomendações da Microsoft, para se proteger contra essa forma de abuso de controle de acesso, Clark recomenda que os administradores removam todos os trusts externos. Se isso não for possível, monitorar quais usuários estão acessando o que é a próxima melhor coisa.
O mais importante, no final, é a consciência. Caso contrário, os administradores podem ser vítimas de uma falsa sensação de segurança. Eles “podem ver que um domínio confiável é um risco maior. Portanto, eles podem aplicar maior segurança a esse domínio”, explica Clark, mas “eles podem não aplicar o mesmo nível de segurança ao restante dos domínios da floresta”, apesar o risco semelhante.
“Acho que o principal é conscientizar os administradores do sistema de que isso é possível”, conclui Clark. Ao saber disso, “eles podem proteger suficientemente o resto do domínio”.
FONTE: DARK READING