Billede af Magnus

Magnus Klaaborg Stubman er whitehat-hacker hos it-sikkerhedsvirksomheden Improsec. Foto: Rasmus Sigvaldi

hacking

Magnus kan knække et Active Directory før frokost

Whitehat-hacker Magnus Klaaborg Stubman har ofte held til at kompromittere virksomheders Active Directory-miljø, når han udfører professionelle pentests.

Når ransomware-banditter forsøger at angribe en virksomhed, er Microsofts Active Directory et attraktivt mål.

Active Directory (AD) er et rettighedsstyringssystem, som blandt andet bliver brugt til at kontrollere brugernavnet og adgangskoden, der bliver indtastet ved et login på en Windows-PC på et virksomhedsnetværk.

Magnus Klaaborg Stubman er whitehat-hacker hos it-sikkerhedsvirksomheden Improsec.

Det vil sige, at han efter aftale med en virksomhed forsøger at kompromittere dens it-systemer for derved at blotlægge og efterfølgende få lukket eventuelle svagheder, før de bliver udnyttet af kriminelle – eksempelvis i forbindelse med ransomware-angreb.

Når it-kriminelle går efter at få administrator-rettigheder i AD-miljøet, hænger det sammen med, at sådan en adgang er ensbetydende med frit slag i bolledejen, hvad angår ransomware.
– Så kan du oftest alt. Du kan komme ind på alle computere og gøre lige, hvad du vil. Når du er domain-admin, er det game over, så er der intet i Active Directory-miljøet, som kan stoles på mere, siger Magnus Klaaborg Stubman.

Domain-admin er betegnelsen for en administrator på domain-controlleren, som er den server, AD’et kører på. Så når en person er domain-admin, har denne også kontrol over AD-miljøet.

Tema:

Denne artikel er en del af et tema om ransomware

Våbenkapløbet
Magnus kan knække et Active Directory før frokost
Cyberkriminelle spekulerer i GDPR-skræk
Guide: Under angreb

Det vil sige, backuppen kan slås fra, data kan hives ud af virksomheden, og software, der krypterer organisationens maskiner, kan pushes ud som en anden Windows-opdatering.
– Når du er domain-admin, er det næsten altid supernemt at finde de systemer, som indeholder hemmelig information. Bare sådan noget som e-mailkorrespondance er jo typisk ikke noget, man som virksomhed har lyst til at dele med internettet. Kun fantasien sætter grænserne, siger Magnus Klaaborg Stubman.

Hvor ofte oplever du, at man kan overtage AD i forhold til de opgaver, I er ude at lave?
– Ekstremt tit. Når vi starter på en opgave, så antager vi, at det vil vi ende ud med at gøre, og det er ekstremt sjældent, at den antagelse er forkert, siger han og tilføjer:
– Typisk drejer det sig om få dage.

Timer eller minutter

Den tidshorisont skal ifølge Magnus Klaaborg Stubman ses i lyset af, at whitehat-hackerne hos Improsec arbejder ud fra et forsigtighedsprincip om ikke at ødelægge kunders data, hvorimod blackhat-hackere er ligeglade med den slags.
– De automatiserer det så meget, de kan. Og så er det et spørgsmål om timer eller minutter, siger han og tilføjer:
– Og det er det også nogle gange for os. Så er vi nede på timer. Der er en stående vittighed om, at hvis man er blevet domain-admin før frokost, så er det godt gået. Og det sker.

Også i større organisationer?
– Ja, også i store organisationer. Nogle gange er det faktisk nemmere at blive domain-admin i store organisationer, fordi deres miljøer er mere komplekse og derfor sværere at vedligeholde og sikre.

Hvis en virksomhed skulle gøre dit arbejde rigtigt svært, hvad skal de så gøre?
– Jeg ville gerne have, at virksomheder indså vigtigheden af at sikre deres AD bedre.

Høje krav til sikkerhed

Det er dog ifølge Magnus Klaaborg Stubman ikke helt ligetil at sikre et AD.
– Det er nemt at sige, og det er nemt at forstå, men at gøre det korrekt og bruge det over tid er svært. Vi hjælper vores kunder med at sætte sådan nogle tier-miljøer op og hjælper dem med, hvordan de skal bruge det, siger han.

Tiering-løsningen involverer nemlig en del ekstra regler og administration.
– Det er ikke altid, administratorer i organisationer er glade for den model, for det besværliggør deres arbejde, hvis de er vant til at bruge den samme konto til alt, siger Magnus Klaaborg Stubman.

Du kan komme ind på alle computere og gøre lige, hvad du vil
- Magnus Klaaborg Stubman

Han peger på, at man har en brugerkonto og så nogle administrative konti. Og disse skal bruges med omhu og forskelligt, alt afhængig af hvilke klienter/servere man skal have tilgang til.
– Når vi har hjulpet med at sætte tiering op efter Microsofts anbefalinger, får man ikke bare en admin-konto, men tre eller fire forskellige nye konti. Og dem skal it-administratorerne bruge afhængigt af, hvad de skal lave, siger han og fortsætter:
– Det er administrativt bøvlet. Og selv dem, der gør det rigtigt, må ikke bruge det samme kodeord til de her fire admin-brugere. Samtidig er kravene ret høje, og kodeordene skal være på 20-25 karakterer. Og de skal gerne også være komplekse.

Microsoft har lagt en guide til sikring af AD ud på nettet, som kan findes under titlen: ”Best Practices for Securing Active Directory”.


Læs også...

Jargon har i årevis samlet forklaringer på tech-forkortelser, it-udtryk og ord. Det er blevet til et ret massiv og enkelt opslagsværk over it-kultur…

Isak Juel Nielsen er 20 år og studerer datalogi på Syddansk Universitet.

I Estland vokser udviklingen derfor også nedefra, fordi de lytter oppefra. Det har gjort dem til verdensmestre i iværksætteri, og det har skabt…

PROSA oplever en tendens til at muligheden for hjemmearbejde blandt vores medlemmer indskrænkes. Regler om hjemmearbejde er langt de fleste steder et…

Lønsamtaler kan give sved på panden, men med den rette strategi kan du forlade chefens kontor med mere i lønningsposen. Mariam Senounou er jurist hos…

Man kan lære mange ting på skolebænken, men meget læring kommer også fra virkeligheden. Det har tre software design-studerende i den grad mærket på…

Microsoft vil starte en atomreaktor op igen for at give grøn strøm til deres datacentre, specielt dem med AI. Hvis det reelt går igennem, og de får…

En ny feature i et af Googles AI-værktøjer gør det muligt at lave en podcast på få minutter. Featuren er så nem at bruge, at den egentlig ikke behøver…

Millioner af udviklere verden over bruger hver dag JavaScript – men hvorfor er programmeringssproget blevet så populært? PROSAbladet har talt med…

Et nyt projekt indsamler danske stemmer for at sikre, at AI-løsninger fremover også kan tale med dialekter. Du kan også donere din stemme, skriver DR.…