Active Directory is niet alleen waardevol voor beheerders. Het vormt ook een nieuw, rijk doelwit voor creatieve cybercriminelen. De permissies en onopvallendheid van legitieme gebruikers op het interne netwerk geven aanvallers vrij spel. Betere bewaking is nodig.
Microsofts directoryservice Active Directory (AD) is in het bedrijfsleven bijna net zo wijdverspreid als het besturingssysteem Windows is in de pc-wereld. AD doet dienst voor netwerken waar Windows-systemen in domeinen zijn opgenomen. Systeembeheerders krijgen daarmee grip op de diverse systemen in hun infrastructuur. Dit loopt uiteen van applicaties en gebruikers tot toegangsrechten en software-installaties. Dat laatste omvat ook het toepassen van updates en patches.
De kluis met alle sleutels
Tot zover bekend terrein voor ingevoerde it’ers. Active Directory is echter een aantrekkelijk doelwit voor creatieve kwaadwillenden. Indien zij toegang verkrijgen tot die cruciale beheertool, hebben zij daarmee in wezen toegang tot de hele it-omgeving van een organisatie. Voordeel boven het hacken van een ander systeem is dat AD de kluis met toegangssleutels is voor legitieme gebruikers, inclusief beheerders. Zit een bepaalde ‘deur’ op slot voor iedereen onder een bepaald toegangsniveau? Het kraken van zo’n slot kan alarmbellen van securitysystemen doen rinkelen. Een gewone indringer kan zo tegen de lamp lopen. Een hacker die zich toegang heeft verschaft tot Active Directory kan simpelweg een andere sleutel uit de ‘geleende’ sleutelbos kiezen. De sluwe indringer gebruikt dan de sleutel van een gebruiker die wel door die deur mag. Securitysystemen hoeven dan niets verdachts te zien.
Spookverhaal uit de praktijk
Theoretische bangmakerij? Helaas niet. Bij een multinational met het hoofdkwartier in Londen is exact zo’n scenario toegepast. Deze sluwe aanval kwam uiteindelijk wel aan het licht, maar pas nadat de inbrekers al langere tijd actief waren. Via een geleidelijk uitgevoerde operatie zijn de aanvallers uitgekomen bij de schatkist die Active Directory is. De directory-server is in-memory gepatcht, waardoor de cyberinbrekers een universele loper kregen voor alle accounts in de organisatie. Daarna viel hun insluipen niet langer op aangezien het om handelingen van legitieme gebruikers en beheerders leek te gaan. De gebruikte AD-malware is door de ontdekkers Skeleton Key genoemd, omdat de daders hiermee een universele loper in handen kregen.
Beperkende factoren
Zij konden zich met willekeurige wachtwoorden authentiseren als iedere willekeurige bedrijfsgebruiker van de multinational. Ondertussen kunnen de legitieme gebruikers ongestoord en onwetend hun accounts en systemen blijven gebruiken. Beperkende factor is wel dat het hier gaat om systemen met single-factor authenticatie: dus inloggen met slechts gebruikersnaam en wachtwoord. Two-factor authenticatie valt dus aan te raden.
Deze verregaande inbraak werd pas ontdekt nadat een it-beheerder toevallig een afwijkend event bespeurde en hierop de beveiligingstak van Dell om hulp vroeg. Vervolgens heeft de Counter Threat Unit (CTU) van Dell’s SecureWorks de kwestie uitgeplozen en getraceerd naar Active Directory. Goede monitoring van accounts, gebruikersgedrag en gelijktijdige log-ins kan al een waarschuwing geven.
Sleutels van de sleutelmeesters
Verder is de initiële kraak van die serversoftware gedaan met de credentials van een domeinbeheerder. De inbrekers bij de multinational hebben die logingegevens eerst elders buitgemaakt. De diefstal van die credentials valt op meerdere plekken te doen, legt SecureWorks uit in een blogpost: op servers, op de pc’s van die beheerders en op bepaalde domeincontrollers. Het bewaken van ‘beheerderssleutels’ mag dus ook wat strenger zijn. Bij de veelbesproken inbraak bij Sony Pictures blijkt achteraf ook dat de aanvallers de credentials van een beheerder hadden gestolen.
Tot slot kent Skeleton Key in de nu ontdekte varianten geen ‘persistence’. Zodra een gecompromitteerde domaincontroller opnieuw wordt opgestart, moet de besmetting nogmaals worden uitgevoerd. In de praktijk hoeft dat geen groot obstakel te zijn voor de aanvallers als zij elders in het netwerk malware voor eigen toegang op afstand hebben geplaatst. Bij de getroffen multinational is dat in de praktijk ook gedaan. Scherpe securityscans kunnen die secundaire malware afvangen.
