Magnus kan knække et Active Directory før frokost

Når ransomware-banditter forsøger at angribe en virksomhed, er Microsofts Active Directory et attraktivt mål.

Active Directory (AD) er et rettighedsstyringssystem, som blandt andet bliver brugt til at kontrollere brugernavnet og adgangskoden, der bliver indtastet ved et login på en Windows-PC på et virksomhedsnetværk.

Magnus Klaaborg Stubman er whitehat-hacker hos it-sikkerhedsvirksomheden Improsec.

Det vil sige, at han efter aftale med en virksomhed forsøger at kompromittere dens it-systemer for derved at blotlægge og efterfølgende få lukket eventuelle svagheder, før de bliver udnyttet af kriminelle – eksempelvis i forbindelse med ransomware-angreb.

Når it-kriminelle går efter at få administrator-rettigheder i AD-miljøet, hænger det sammen med, at sådan en adgang er ensbetydende med frit slag i bolledejen, hvad angår ransomware.
– Så kan du oftest alt. Du kan komme ind på alle computere og gøre lige, hvad du vil. Når du er domain-admin, er det game over, så er der intet i Active Directory-miljøet, som kan stoles på mere, siger Magnus Klaaborg Stubman.

Domain-admin er betegnelsen for en administrator på domain-controlleren, som er den server, AD’et kører på. Så når en person er domain-admin, har denne også kontrol over AD-miljøet.

Det vil sige, backuppen kan slås fra, data kan hives ud af virksomheden, og software, der krypterer organisationens maskiner, kan pushes ud som en anden Windows-opdatering.
– Når du er domain-admin, er det næsten altid supernemt at finde de systemer, som indeholder hemmelig information. Bare sådan noget som e-mailkorrespondance er jo typisk ikke noget, man som virksomhed har lyst til at dele med internettet. Kun fantasien sætter grænserne, siger Magnus Klaaborg Stubman.

Hvor ofte oplever du, at man kan overtage AD i forhold til de opgaver, I er ude at lave?
– Ekstremt tit. Når vi starter på en opgave, så antager vi, at det vil vi ende ud med at gøre, og det er ekstremt sjældent, at den antagelse er forkert, siger han og tilføjer:
– Typisk drejer det sig om få dage.

Timer eller minutter

Den tidshorisont skal ifølge Magnus Klaaborg Stubman ses i lyset af, at whitehat-hackerne hos Improsec arbejder ud fra et forsigtighedsprincip om ikke at ødelægge kunders data, hvorimod blackhat-hackere er ligeglade med den slags.
– De automatiserer det så meget, de kan. Og så er det et spørgsmål om timer eller minutter, siger han og tilføjer:
– Og det er det også nogle gange for os. Så er vi nede på timer. Der er en stående vittighed om, at hvis man er blevet domain-admin før frokost, så er det godt gået. Og det sker.

Også i større organisationer?
– Ja, også i store organisationer. Nogle gange er det faktisk nemmere at blive domain-admin i store organisationer, fordi deres miljøer er mere komplekse og derfor sværere at vedligeholde og sikre.

Hvis en virksomhed skulle gøre dit arbejde rigtigt svært, hvad skal de så gøre?
– Jeg ville gerne have, at virksomheder indså vigtigheden af at sikre deres AD bedre.

Høje krav til sikkerhed

Det er dog ifølge Magnus Klaaborg Stubman ikke helt ligetil at sikre et AD.
– Det er nemt at sige, og det er nemt at forstå, men at gøre det korrekt og bruge det over tid er svært. Vi hjælper vores kunder med at sætte sådan nogle tier-miljøer op og hjælper dem med, hvordan de skal bruge det, siger han.

Tiering-løsningen involverer nemlig en del ekstra regler og administration.
– Det er ikke altid, administratorer i organisationer er glade for den model, for det besværliggør deres arbejde, hvis de er vant til at bruge den samme konto til alt, siger Magnus Klaaborg Stubman.

Han peger på, at man har en brugerkonto og så nogle administrative konti. Og disse skal bruges med omhu og forskelligt, alt afhængig af hvilke klienter/servere man skal have tilgang til.
– Når vi har hjulpet med at sætte tiering op efter Microsofts anbefalinger, får man ikke bare en admin-konto, men tre eller fire forskellige nye konti. Og dem skal it-administratorerne bruge afhængigt af, hvad de skal lave, siger han og fortsætter:
– Det er administrativt bøvlet. Og selv dem, der gør det rigtigt, må ikke bruge det samme kodeord til de her fire admin-brugere. Samtidig er kravene ret høje, og kodeordene skal være på 20-25 karakterer. Og de skal gerne også være komplekse.

Microsoft har lagt en guide til sikring af AD ud på nettet, som kan findes under titlen: ”Best Practices for Securing Active Directory”.