Billede af Magnus

Magnus Klaaborg Stubman er whitehat-hacker hos it-sikkerhedsvirksomheden Improsec. Foto: Rasmus Sigvaldi

hacking

Magnus kan knække et Active Directory før frokost

Whitehat-hacker Magnus Klaaborg Stubman har ofte held til at kompromittere virksomheders Active Directory-miljø, når han udfører professionelle pentests.

Når ransomware-banditter forsøger at angribe en virksomhed, er Microsofts Active Directory et attraktivt mål.

Active Directory (AD) er et rettighedsstyringssystem, som blandt andet bliver brugt til at kontrollere brugernavnet og adgangskoden, der bliver indtastet ved et login på en Windows-PC på et virksomhedsnetværk.

Magnus Klaaborg Stubman er whitehat-hacker hos it-sikkerhedsvirksomheden Improsec.

Det vil sige, at han efter aftale med en virksomhed forsøger at kompromittere dens it-systemer for derved at blotlægge og efterfølgende få lukket eventuelle svagheder, før de bliver udnyttet af kriminelle – eksempelvis i forbindelse med ransomware-angreb.

Når it-kriminelle går efter at få administrator-rettigheder i AD-miljøet, hænger det sammen med, at sådan en adgang er ensbetydende med frit slag i bolledejen, hvad angår ransomware.
– Så kan du oftest alt. Du kan komme ind på alle computere og gøre lige, hvad du vil. Når du er domain-admin, er det game over, så er der intet i Active Directory-miljøet, som kan stoles på mere, siger Magnus Klaaborg Stubman.

Domain-admin er betegnelsen for en administrator på domain-controlleren, som er den server, AD’et kører på. Så når en person er domain-admin, har denne også kontrol over AD-miljøet.

Tema:

Denne artikel er en del af et tema om ransomware

Våbenkapløbet
Magnus kan knække et Active Directory før frokost
Cyberkriminelle spekulerer i GDPR-skræk
Guide: Under angreb

Det vil sige, backuppen kan slås fra, data kan hives ud af virksomheden, og software, der krypterer organisationens maskiner, kan pushes ud som en anden Windows-opdatering.
– Når du er domain-admin, er det næsten altid supernemt at finde de systemer, som indeholder hemmelig information. Bare sådan noget som e-mailkorrespondance er jo typisk ikke noget, man som virksomhed har lyst til at dele med internettet. Kun fantasien sætter grænserne, siger Magnus Klaaborg Stubman.

Hvor ofte oplever du, at man kan overtage AD i forhold til de opgaver, I er ude at lave?
– Ekstremt tit. Når vi starter på en opgave, så antager vi, at det vil vi ende ud med at gøre, og det er ekstremt sjældent, at den antagelse er forkert, siger han og tilføjer:
– Typisk drejer det sig om få dage.

Timer eller minutter

Den tidshorisont skal ifølge Magnus Klaaborg Stubman ses i lyset af, at whitehat-hackerne hos Improsec arbejder ud fra et forsigtighedsprincip om ikke at ødelægge kunders data, hvorimod blackhat-hackere er ligeglade med den slags.
– De automatiserer det så meget, de kan. Og så er det et spørgsmål om timer eller minutter, siger han og tilføjer:
– Og det er det også nogle gange for os. Så er vi nede på timer. Der er en stående vittighed om, at hvis man er blevet domain-admin før frokost, så er det godt gået. Og det sker.

Også i større organisationer?
– Ja, også i store organisationer. Nogle gange er det faktisk nemmere at blive domain-admin i store organisationer, fordi deres miljøer er mere komplekse og derfor sværere at vedligeholde og sikre.

Hvis en virksomhed skulle gøre dit arbejde rigtigt svært, hvad skal de så gøre?
– Jeg ville gerne have, at virksomheder indså vigtigheden af at sikre deres AD bedre.

Høje krav til sikkerhed

Det er dog ifølge Magnus Klaaborg Stubman ikke helt ligetil at sikre et AD.
– Det er nemt at sige, og det er nemt at forstå, men at gøre det korrekt og bruge det over tid er svært. Vi hjælper vores kunder med at sætte sådan nogle tier-miljøer op og hjælper dem med, hvordan de skal bruge det, siger han.

Tiering-løsningen involverer nemlig en del ekstra regler og administration.
– Det er ikke altid, administratorer i organisationer er glade for den model, for det besværliggør deres arbejde, hvis de er vant til at bruge den samme konto til alt, siger Magnus Klaaborg Stubman.

Du kan komme ind på alle computere og gøre lige, hvad du vil
- Magnus Klaaborg Stubman

Han peger på, at man har en brugerkonto og så nogle administrative konti. Og disse skal bruges med omhu og forskelligt, alt afhængig af hvilke klienter/servere man skal have tilgang til.
– Når vi har hjulpet med at sætte tiering op efter Microsofts anbefalinger, får man ikke bare en admin-konto, men tre eller fire forskellige nye konti. Og dem skal it-administratorerne bruge afhængigt af, hvad de skal lave, siger han og fortsætter:
– Det er administrativt bøvlet. Og selv dem, der gør det rigtigt, må ikke bruge det samme kodeord til de her fire admin-brugere. Samtidig er kravene ret høje, og kodeordene skal være på 20-25 karakterer. Og de skal gerne også være komplekse.

Microsoft har lagt en guide til sikring af AD ud på nettet, som kan findes under titlen: ”Best Practices for Securing Active Directory”.


Læs også...

Kim Sondrup, der arbejdede 4,5 år i drift-organisationen hos Netcompany, peger på, at det var fedt at få lov til at lave samfundskritiske løsninger,…

En tidligere Netcompany-ansat, der var cirka seks måneder i konsulentforretningen, fortæller, at det var hårdt mentalt at arbejde i it-virksomheden.…

Rasmus Madsen, der arbejdede 5,5 år i drift-organisationen hos Netcompany, var glad for jobbet hos it-virksomheden, men oplevede også, at mange…

En tidligere medarbejder, der ønsker at være anonym, arbejdede godt tre år i konsulentforretningen hos Netcompany. Der var mange lange dage på…

Rene Mejer Lauritsen var ansat 5,5 år i konsulentforretningen hos Netcompany. Han peger på, at der var en masse gode muligheder i virksomheden, men at…

Hvis et ekstraordinært stort arbejdspres og et højt stressniveau var hverdag for størstedelen af de ansatte hos Netcompany, ville it-virksomheden ikke…

Vækst har været den helt store overskrift for Netcompany i de seneste år, hvor antallet af medarbejdere også er vokset massivt. Samtidig har medierne…

Blot 13-årige Willis Gibson med gamernavnet Blue Scuti blev den første til at nå ”Kill screen” i Tetris. Det var han dog kun ene om i få dage. Kort…

To år inde i den russiske invasion kæmper it-professionelle stadig med at få en hverdag til at hænge sammen mellem strømafbrydelser og bomberegn. De…

Coding Pirates fylder 10 år den 28. februar. Græsrodsorganisationen har afdelinger i hele landet, hvor børn og unge leger og lærer sig til…