Billede af Magnus

Magnus Klaaborg Stubman er whitehat-hacker hos it-sikkerhedsvirksomheden Improsec. Foto: Rasmus Sigvaldi

hacking

Magnus kan knække et Active Directory før frokost

Whitehat-hacker Magnus Klaaborg Stubman har ofte held til at kompromittere virksomheders Active Directory-miljø, når han udfører professionelle pentests.

Når ransomware-banditter forsøger at angribe en virksomhed, er Microsofts Active Directory et attraktivt mål.

Active Directory (AD) er et rettighedsstyringssystem, som blandt andet bliver brugt til at kontrollere brugernavnet og adgangskoden, der bliver indtastet ved et login på en Windows-PC på et virksomhedsnetværk.

Magnus Klaaborg Stubman er whitehat-hacker hos it-sikkerhedsvirksomheden Improsec.

Det vil sige, at han efter aftale med en virksomhed forsøger at kompromittere dens it-systemer for derved at blotlægge og efterfølgende få lukket eventuelle svagheder, før de bliver udnyttet af kriminelle – eksempelvis i forbindelse med ransomware-angreb.

Når it-kriminelle går efter at få administrator-rettigheder i AD-miljøet, hænger det sammen med, at sådan en adgang er ensbetydende med frit slag i bolledejen, hvad angår ransomware.
– Så kan du oftest alt. Du kan komme ind på alle computere og gøre lige, hvad du vil. Når du er domain-admin, er det game over, så er der intet i Active Directory-miljøet, som kan stoles på mere, siger Magnus Klaaborg Stubman.

Domain-admin er betegnelsen for en administrator på domain-controlleren, som er den server, AD’et kører på. Så når en person er domain-admin, har denne også kontrol over AD-miljøet.

Tema:

Denne artikel er en del af et tema om ransomware

Våbenkapløbet
Magnus kan knække et Active Directory før frokost
Cyberkriminelle spekulerer i GDPR-skræk
Guide: Under angreb

Det vil sige, backuppen kan slås fra, data kan hives ud af virksomheden, og software, der krypterer organisationens maskiner, kan pushes ud som en anden Windows-opdatering.
– Når du er domain-admin, er det næsten altid supernemt at finde de systemer, som indeholder hemmelig information. Bare sådan noget som e-mailkorrespondance er jo typisk ikke noget, man som virksomhed har lyst til at dele med internettet. Kun fantasien sætter grænserne, siger Magnus Klaaborg Stubman.

Hvor ofte oplever du, at man kan overtage AD i forhold til de opgaver, I er ude at lave?
– Ekstremt tit. Når vi starter på en opgave, så antager vi, at det vil vi ende ud med at gøre, og det er ekstremt sjældent, at den antagelse er forkert, siger han og tilføjer:
– Typisk drejer det sig om få dage.

Timer eller minutter

Den tidshorisont skal ifølge Magnus Klaaborg Stubman ses i lyset af, at whitehat-hackerne hos Improsec arbejder ud fra et forsigtighedsprincip om ikke at ødelægge kunders data, hvorimod blackhat-hackere er ligeglade med den slags.
– De automatiserer det så meget, de kan. Og så er det et spørgsmål om timer eller minutter, siger han og tilføjer:
– Og det er det også nogle gange for os. Så er vi nede på timer. Der er en stående vittighed om, at hvis man er blevet domain-admin før frokost, så er det godt gået. Og det sker.

Også i større organisationer?
– Ja, også i store organisationer. Nogle gange er det faktisk nemmere at blive domain-admin i store organisationer, fordi deres miljøer er mere komplekse og derfor sværere at vedligeholde og sikre.

Hvis en virksomhed skulle gøre dit arbejde rigtigt svært, hvad skal de så gøre?
– Jeg ville gerne have, at virksomheder indså vigtigheden af at sikre deres AD bedre.

Høje krav til sikkerhed

Det er dog ifølge Magnus Klaaborg Stubman ikke helt ligetil at sikre et AD.
– Det er nemt at sige, og det er nemt at forstå, men at gøre det korrekt og bruge det over tid er svært. Vi hjælper vores kunder med at sætte sådan nogle tier-miljøer op og hjælper dem med, hvordan de skal bruge det, siger han.

Tiering-løsningen involverer nemlig en del ekstra regler og administration.
– Det er ikke altid, administratorer i organisationer er glade for den model, for det besværliggør deres arbejde, hvis de er vant til at bruge den samme konto til alt, siger Magnus Klaaborg Stubman.

Du kan komme ind på alle computere og gøre lige, hvad du vil
- Magnus Klaaborg Stubman

Han peger på, at man har en brugerkonto og så nogle administrative konti. Og disse skal bruges med omhu og forskelligt, alt afhængig af hvilke klienter/servere man skal have tilgang til.
– Når vi har hjulpet med at sætte tiering op efter Microsofts anbefalinger, får man ikke bare en admin-konto, men tre eller fire forskellige nye konti. Og dem skal it-administratorerne bruge afhængigt af, hvad de skal lave, siger han og fortsætter:
– Det er administrativt bøvlet. Og selv dem, der gør det rigtigt, må ikke bruge det samme kodeord til de her fire admin-brugere. Samtidig er kravene ret høje, og kodeordene skal være på 20-25 karakterer. Og de skal gerne også være komplekse.

Microsoft har lagt en guide til sikring af AD ud på nettet, som kan findes under titlen: ”Best Practices for Securing Active Directory”.


Læs også...

AI vil påvirke voldsomt mange arbejdsopgaver og måden at arbejde på. En stor mængde unge risikerer at ramme arbejdsmarkedet i hård konkurrence med en…

I takt med tiden: PROSA har fået nyt logo og nyt payoff/slogan. Der er tale om en modernisering, som skal signalere endnu tættere bånd til det, som…

Vi skal fokusere meget mere på det, som italieneren Mario Draghi sagde i september 2024. Det mener Stephen Alstrup, der er professor på Datalogisk…

Erhvervsakademierne har fået godkendt en ny professionsbachelor i cybersikkerhed. Det vækker glæde hos IT-fagforeningen PROSA – også selvom den nye…

Marcus, Lucas, Karl-Emil og Arthur startede for et lille år siden virksomheden Spaak, som ved hjælp af AI-modellem Hamilton samler et 360 overblik…

Hvad var vildest i 2024, og hvad skal vi se frem til i 2025? Året er ved at rinde ud, og vi spurgt Rasmus Theilsø Madsen, der er Head of Strategy hos…

DRENGESTREGER: Fire 21-årige iværksættere og deres endnu yngre ansatte har succes med AI-modellen Hamilton, som laver politisk konsulentarbejde. De…

Året er ved at rinde ud, og vi kigger tilbage på op- og nedture i 2024. I denne omgang spørger vi Natasha Friis Saxberg, der er adm. direktør i…

I dag er omkring 80 pct. af alle AI-udviklere mænd, og det er en skævhed, der skal ændres, mener Natasha Norsker. Rollemodeller, kvindelige…

Alle – også IT-folk – har et ansvar i den grønne omstilling, og en ny bog vil sætte fokus på, hvad du helt konkret kan gøre for at sikre, at dit…