Questo è l’ultimo di una serie di post che chiamiamo “QOMPLX Knowledge”. Questi post hanno lo scopo di fornire informazioni di base e approfondimenti sull’attività di attacco e sulle tendenze che guidano le campagne dannose e che i ricercatori di QOMPLX incontrano nel nostro lavoro forense con i clienti.
Per comprendere le relazioni fiduciarie cross-forest in Active Directory, è necessario prima comprendere la struttura logica di Active Directory come prescritto da Microsoft. Active Directory segue una chiara gerarchia, dall’alto verso il basso. In questa gerarchia ci sono: foreste, alberi e domini.
- Le foreste rappresentano l’istanza completa di Active Directory e sono contenitori logici costituiti da alberi di dominio, domini e unità organizzative.
- Gli alberi sono collezioni di domini all’interno dello stesso spazio dei nomi DNS; questi includono domini figli.
- I domini sono raggruppamenti logici di oggetti di rete come computer, utenti, applicazioni e dispositivi in rete come le stampanti.
Gli oggetti di dominio che compongono una foresta condividono molti elementi strutturali critici. Questi includono schema e configurazioni e una relazione di fiducia transitiva bidirezionale che viene impostata automaticamente quando gli oggetti si uniscono a un dominio in Active Directory. In queste relazioni transitive, la fiducia è estesa tra gli oggetti genitori e figli in un dominio e tra i domini figli e gli oggetti fidati da quei domini. Queste relazioni di fiducia sono automatiche e riflessive.
A cross-forest trust è una caratteristica di Windows Server che permette di gestire la fiducia tra il raggruppamento più alto – le foreste di Active Directory – all’interno e all’esterno della vostra organizzazione.
Punti chiave
- I cross-forest trust sono relazioni di fiducia tra foreste, alberi e domini di Active Directory
- I trust possono essere transitivi o non transitivi e a una o due vie
- I trust predefiniti stabiliti automaticamente in Active Directory sono Tree-Root e Parent-Child trust
- Altri trust, come external, realm, shortcut e forest trust, devono essere determinati da un amministratore privilegiato
Relazioni di fiducia tra le foreste AD
Le relazioni di fiducia tra i domini nelle foreste Active Directory devono essere in atto prima che agli utenti sia consentito l’accesso alle risorse di rete all’interno del perimetro aziendale o alle risorse esterne oltre il perimetro di rete. Questa fiducia è un elemento costitutivo della gestione delle identità e degli accessi. Questo è particolarmente vero quando le aziende crescono tramite fusioni e acquisizioni e quando la forza lavoro accede sempre più spesso al lavoro da casa o da altre sedi remote. La fiducia tra i domini è importante anche perché le imprese si affidano sempre più a relazioni di terze parti con fornitori e partner per far crescere il loro business.
Le foreste agiscono essenzialmente come un confine di sicurezza per la struttura che compone Active Directory, ma alcuni esperti avvertono che questo approccio può avere i suoi svantaggi.
“Una foresta di Active Directory può essere progettata con più domini per mitigare alcuni problemi di sicurezza, ma in realtà non li mitigherà a causa di come funzionano i trust di dominio nella foresta”, ha avvertito Sean Metcalf, che gestisce il sito web Active Directory Security. “Se un gruppo ha requisiti di sicurezza per il proprio dominio per motivi di sicurezza, è probabile che abbia davvero bisogno della propria foresta”, ha scritto.
Mentre ci sono molti modi diversi per attaccare Active Directory, gli attori delle minacce possono anche scegliere di abusare delle relazioni di fiducia del dominio. Raccogliere informazioni sulle relazioni di fiducia durante le attività di ricognizione, una volta che un attaccante ha un punto d’appoggio in rete, permette loro di identificare potenzialmente i percorsi in cui il movimento laterale sarebbe possibile. Poiché le relazioni di fiducia di dominio autenticano gli utenti sui rispettivi controller di dominio e la rispettiva fiducia permette agli utenti di accedere alle risorse, gli aggressori possono anche seguire questi stessi percorsi.
Gli aggressori potrebbero seguire una strategia comune che comporterebbe in primo luogo l’enumerazione delle relazioni di fiducia tra foreste, alberi e domini che costruisce una mappa del potenziale raggio d’azione che un avversario potrebbe avere. Un certo numero di metodi nativi di Windows e chiamate API potrebbero essere utilizzati per enumerare i trust, alcuni di questi includono NLtest e dsquery, o strumenti open-source di terze parti come Empire, PowerSploit, o PoshC2.
Lo stesso approccio può essere adottato per enumerare utenti, gruppi o server che hanno relazioni di fiducia simili che potrebbero essere sfruttate come un ponte tra i domini. Un attore minaccioso potrebbe quindi avere abbastanza informazioni per decidere quali account prendere di mira con strumenti e attacchi noti come Pass the Ticket o Kerberoasting, dove i ticket di servizio o gli hash delle credenziali vengono rubati dalla memoria e utilizzati per l’escalation dei privilegi e il movimento laterale, o vengono craccati in attacchi offline e utilizzati per attivare altri attacchi.
Gli amministratori di Active Directory aziendali possono mitigare questi attacchi controllando e mappando le relazioni di fiducia tra foreste e domini, riducendone al minimo il numero quando possibile. Un’altra buona pratica è quella di segmentare i domini sensibili sulla rete, riducendo la superficie di attacco disponibile per gli attori delle minacce.
Tipi di fiducia in Active Directory
Nel frattempo, come menzionato sopra, la fiducia in una foresta Active Directory è automaticamente stabilita come bidirezionale e transitiva. Questo significa che i domini padre e figlio – albero e radice – si fidano l’uno dell’altro. Ciò significa che gli oggetti di Active Directory sono fidati per accedere alle risorse in questi domini. Inoltre: quando vengono creati nuovi domini figli, essi ereditano la fiducia dal dominio padre e sono in grado di condividere le risorse.
La fiducia non transitiva, quindi, è una fiducia che si ferma con i domini con cui è stata creata. In un tale scenario, i domini A e B possono fidarsi l’uno dell’altro, e B e C possono fidarsi l’uno dell’altro, ma questa fiducia non si estende tra A e C senza che venga creata una fiducia separata a senso unico tra A e C.
La fiducia, nel frattempo, può essere solo a senso unico. Per esempio, un dominio è considerato un dominio fidato, e un altro è fidato, quindi la fiducia è stabilita sia in una direzione in uscita che in entrata.
Un glossario di alto livello di fiducia all’interno di Active Directory appare così:
- Tree-Root Trust: Questo tipo di fiducia viene creato quando nuovi domini radice vengono aggiunti a una foresta di Active Directory. Questi sono trust transitivi bidirezionali e solo i domini in cima ad ogni albero fanno parte di questo tipo di trust.
- Parent-Child Trust: Quando vengono aggiunti nuovi domini figli, la fiducia transitiva bidirezionale viene automaticamente stabilita da Active Directory tra il dominio figlio e il suo genitore. I trust Parent-Child e Tree-Root sono trust predefiniti stabiliti automaticamente da Active Directory.
- Forest Trust: I trust della foresta devono essere creati da un amministratore privilegiato. Stabilisce una relazione di fiducia tra due foreste AD, permettendo ai domini in entrambe le foreste di fidarsi reciprocamente in modo transitorio. L’amministratore può determinare se la fiducia è bidirezionale o unidirezionale.
- Realm Trust: Questo tipo è usato per stabilire relazioni di fiducia bidirezionali o unidirezionali tra una foresta Active Directory e un ambiente Kerberos non Windows, come UNIX, Linux, o sistemi operativi UNIX-like.
- External Trust: I trust esterni sono trust non transitivi creati tra i domini Active Directory e quelli situati in una foresta diversa, o tra una foresta AD e un dominio pre-Windows Server 2000 come Windows NT.
- Shortcut Trust: Una shortcut trust stabilisce manualmente una relazione di fiducia tra domini in grandi foreste di Active Directory che permette di migliorare i tempi di autenticazione accorciando il percorso di fiducia tra i domini.
La capacità di creare una relazione di fiducia cross-forest è limitata a quegli utenti privilegiati che fanno parte del gruppo di sicurezza Domain Admins o Enterprise Admins e hanno privilegi di creazione della fiducia. Gli amministratori, nel frattempo, possono anche limitare l’accesso alle risorse a certe identità all’interno di una foresta, se necessario. Microsoft fornisce anche uno snap-in per i domini AD e i trust che verifica la fiducia tra foreste, alberi o domini.
Le relazioni di fiducia tra foreste, alberi e domini stabiliscono un percorso in cui gli utenti sono in grado di accedere alle risorse richieste. Come descritto, alcune di queste relazioni sono stabilite automaticamente da Active Directory e permettono una fiducia transitiva bidirezionale. I trust tra foreste, tuttavia, richiedono un’attenta considerazione delle relazioni tra utenti e oggetti all’interno dei domini, e la fiducia che deve essere stabilita al fine di accedere prontamente alle risorse su entrambi i lati della relazione.
Letture aggiuntive
Queste sono le voci precedenti nella nostra serie QOMPLX Knowledge; cercate altre voci nella nostra serie QOMPLX Knowledge nei prossimi giorni e settimane:
QOMPLX Knowledge: Spiegazione degli attacchi Golden Ticket
Conoscenza QOMPLX: Spiegazione degli attacchi con i biglietti d’argento
Conoscenza QOMPLX: Rispondere agli attacchi Golden Ticket
Conoscenza QOMPLX: Descrizione degli attacchi DCSync
Conoscenza QOMPLX: DCShadow Attacchi Spiegati
Conoscenza QOMPLX: Pass-the-Ticket Attacks Spiegato
QOMPLX Conoscenza: Attacchi Kerberoasting Spiegati
Conoscenza QOMPLX: Kerberos Delegation Attacks Spiegato
Altri link:
MSMVPs: Active Directory Trusts
TechGenix: Gestione di Active Directory Trusts in Windows Server 2016
Microsoft: Considerazioni sulla sicurezza per i trust
Microsoft: Cosa sono i Domini e le Foreste
TechTarget: Come creare un Cross-Forest Trust in AD
Mitre ATT&CK: Domain Trust Discovery
Harmj0y: Guida all’attacco dei Domain Trust