Ha egy szervezet – legyen az vállalkozás, intézmény, kormányzati szerv – Windowst használ, alapból az Active Directoryval (AD) oldja meg azonosság- és hozzáférés-kezelést, a jogosultságok kézben tartását. Ezen a címtárszolgáltatáson keresztül a munkatársak a nekik kiosztott jogosultság szerint férnek a vállalati hálózaton a szoftverekhez, szolgáltatásokhoz. Ha tehát valaki megszerzi az Active Directory fölötti felügyeletet, azt tehet az adott hálózatban, amit csak akar, és olyan magas jogosultsággal, amire épp szüksége van. Értelemszerűen erre a lehetőségre a hekkerek is rárepültek. Egyre több támadásban játszik fontos szerepet a Microsoft címtárszolgáltatása.

Mindenhol ott van, mindenhova elér

Az Active Directory több mint két évtizede alatt vállalati környezetben kvázi szabvánnyá vált. Tíz szervezetből kilenc ezt az 1999-ben, a Windows 2000-rel megjelenő szolgáltatást használja, sőt a Fortune 500 cégekben még magasabb, 95 százalékos a piaci részesedése. Ez összességében azt jelenti, hogy globálisan megközelítőleg 500 millió szervezet naponta tízmilliárdos nagyságrendben hajt végre hitelesítési műveleteket Active Directoryval.

A felhős igények kiszolgálására a Microsoft a szolgáltatást kiterjesztette az Azure-ra is (Azure Active Directory – AAD). Bár az on-premise AD-val szemben az azure-os változatnak kisebb a piaci súlya (nagyobb fajsúlyú ellenfele többek között a Google Identity Management, az OpenID Connect, a Gigya vagy a Cisco Identity Services Engine), az on-premise háttér miatt egyelőre semmi sem fenyegeti vezető pozícióját.

A felhős címtárral azonban minden sokkal bonyolultabbá vált. Ennek oka nem kis részben az, hogy a szervezetek nem kizárólag on-premise vagy felhős rendszereket használnak, hanem különböző biztonsági, üzletmenet-folytonossági és compliance-okok miatt jellemzően hibrid infrastruktúrát építenek. Például használnak Microsoft 365-öt felhőből, az üzletkritikus adatokat pedig helyben tárolják, bizonyos esetekben azonban felhős rendszerekkel elemzik.

Ebből következően minden alkalmazottnak – netán bizonyos alkalmazásokhoz kívülről hozzáférő ügyfélnek – nem csak az helyi rendszerben kell nyilvántartani a jogosultságait, hanem a felhőben is, hiszen miközben hozzá kell férnie SaaS (Software as a Service) modellben használt felhős alkalmazásokhoz, például a Microsoft 365-höz, el kell érnie a helyi erőforrásokat is (belső hálózat, intranet, on-premise adatbázis stb.). Ugyanígy: ha valaki távozik a szervezettől, hozzáféréseit meg kell szüntetni mindkét helyen.

Az, hogy ezt a Microsoft AD-vel (és AAD-vel) oldják meg a szervezetek, érthető: az alap címtárszolgáltatások ugyanis automatikusan járnak a Microsoft üzleti szoftvereihez. Emellett az is népszerűvé teszi, hogy van benne csoportos házirend-kezelés, és az AD elsők között biztosított egyszeri bejelentkezéssel történő azonosítást (SSO – single sign-on, amikor egy azonosítással lehet elérni az összes rendszert). (A bővített képességekért fizetni kell, nem is keveset: az AAD-nek kétfajta Premium előfizetése van, az olcsóbb havonta több mint 5, a drágább közel 8 euró felhasználónként.)

Csakhogy hibrid modell esetében szintet lép a címtárszolgáltatás biztonsági kockázata, ami komoly plusz terhet rak a biztonsági üzemeltetésért felelős szakemberekre. Jellemzően ilyenkor is az on-premise címtárszolgáltatást tekintik alapnak, ami igencsak megbonyolítja a felügyeletet. Az AAD ugyanis nem az on-premise AD felhős másolata. Ahogy a Microsoft is írja ismertetőjében, az azure-os címtárszolgáltatás egy teljesen önálló környezet önálló szolgáltatásokkal. Tehát hibrid infrastruktúrában két, egymással szoros kapcsolatban álló, de önálló Active Directory-környezetet kell menedzselni, ami akadályozza az automatizációt, és növeli a hibalehetőségeket, elég csak az ún. "szellemfiókok", azaz a felügyelet nélküli fiókok problémakörére gondolni.

És hogy érzékeljük, hogy ez globálisan mekkora kihívás, álljon itt néhány szám: a Microsoft szerint jelenleg több mint egymilliárd felhasználóazonosítót tárolnak AAD-ban, ami napi szinten tízmilliárdos nagyságrendű bejelentkezést jelent (Microsoft 365, Exchange, SharePoint stb.). Emellett sok szervezetben itt egyesítik többek között a hagyományos azonosság- és hozzáférés-kezelést (IAM – Identity and Access Management), a többfaktoros hitelesítést, az SSO-funkciót vagy a jelszókezelést is.

Egyre többször kap szerepet a támadásokban

Az elmúlt néhány évben több olyan jelentős kibertámadást hajtottak végre, melyben kulcsszerepet játszott a címtárszolgáltatás. A globális koronavírus-járvány alatt, amikor a távmunkát minden korábbinál szélesebb körben vezették be a szervezetek, meredeken megugrott az AAD-fiókok elleni brute force támadások száma, derül ki Microsoft tavaly szemptemberi Microsoft Digital Defense jelentéséből (67. oldal).

Tavaly májusban a japán telekommunikációs óriás, az NTT AD-szerverét kompromittálva lopták el a vállalat és több száz ügyfele érzékeny adatait hekkerek. A vállalat állítólag egy héttel a betörés után érzékelte a támadást, amely a felhős és az on-premise címtárszolgáltatást veszélyeztette. A kiindulópont egy belső, egyébként szingapúri szerver volt, melyhez a rendszergazdai szintű hozzáféréshez brute force módszerrel szereztek jelszót. Onnan sikerült bejutni az AD-szerverre, és onnantól lényegében bármihez hozzáfértek. További fiókadatokat szerezhettek, módosíthatták a felhasználói fiókok jogosultságait, vagy akár backdoort is be tudtak építeni későbbi támadásokhoz.

Szintén tavaly került nyilvánosságra – bár az incidenst 2019 nyarán fedezték fel –, hogy az ENSZ genfi és bécsi irodája ellen sikeres kibertámadást hajtottak végre. Becslések szerint a hekkerek a világszervezet közel hetven szerveréhez férhettek hozzá, melyekről alkalmazottak érzékeny személyes adatait és üzleti szerződéseket is szereztek. Amellett, hogy letöltöttek kb. 400 gigabájt adatot, nem mellesleg kompromittálták a szervezet alapvető IT-infrastruktúrájának kulcselemeit. Bár a hekkerek a támadás első lépéséhez egy távoli kódfuttatást lehetővé tevő SharePoint-sérülékenységet aknáztak ki (amit a Microsoft fél évvel korábban javított, csak az ENSZ-nél nem telepítették a patch-et), utána azonban hozzáférhettek az Active Directoryhoz, így onnantól akadálytalanul garázdálkodhattak a hálózatban.

A két támadásban közös, hogy a bűnözők nem közvetlenül az Active Directoryt támadták, de kulcsszerepet játszott a támadások kiterjesztésében. Sorozatunk következő részében megnézzük, milyen tipikus hibák, problémák vezetnek ahhoz, hogy az Active Directory egy kiterjedt támadás kulcsszereplője lehessen, majd azt is megnézzük, hogy milyen eszközökkel, bevált gyakorlatokkal lehet elébe menni az ilyen problémáknak.

Ez a cikk független szerkesztőségi tartalom, mely a Balasys támogatásával készült. Részletek »