Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Analisi degli attacchi di escalation dei privilegi con dati di autorizzazione contraffattiInvestigating Privilege escalation using forged authorization data attacks

Microsoft apporta costantemente miglioramenti alle proprie funzionalità di rilevamento di sicurezza e alla propria capacità di fornire agli analisti della sicurezza informazioni operative quasi in tempo reale.Microsoft constantly improves its security detection capabilities and the ability to provide near-real-time, actionable intelligence to security analysts. Alla base di questa capacità c'è Microsoft Advanced Threat Analytics (ATA).Microsoft’s Advanced Threat Analytics (ATA) helps to lead this change. Se ATA rileva sulla rete un'attività di escalation dei privilegi che usa dati di autorizzazione contraffatti e genera un avviso, questo articolo consente di comprendere l'attacco e di analizzarlo.If ATA detects a Privilege escalation using forged authorization data suspicious activity on your network and alerts you about it, this article will help you understand and investigate it.

Che cos'è un certificato attributi privilegi?What is a Privileged Attribute Certificate (PAC)?

Il certificato attributi privilegi è la struttura dei dati del ticket Kerberos contenente le informazioni di autorizzazione, compresi l'appartenenza a gruppi, gli ID di sicurezza e le informazioni del profilo utente.The Privilege Attribute Certificate (PAC) is the Data Structure in the Kerberos Ticket which holds authorization information, including group memberships, security identifiers and user profile information. In un dominio Active Directory questo certificato consente il passaggio dei dati di autorizzazione forniti dal controller di dominio ad altri server e ad altre workstation membri a scopi di autenticazione e autorizzazione.In an Active Directory domain, this enables authorization data provided by the Domain Controller (DC) to be passed to other member servers and workstations for authentication and authorization purposes. Oltre alle informazioni sull'appartenenza, il certificato attributi privilegi include informazioni aggiuntive sulle credenziali, informazioni del profilo e dei criteri e metadati di sicurezza di supporto.In addition to membership information, the PAC includes additional credential information, profile and policy information, and supporting security metadata.

La struttura dei dati del certificato attributi privilegi viene usata dai protocolli di autenticazione (i protocolli che verificano le identità) per il trasporto delle informazioni relative all'autorizzazione, che controlla l'accesso alle risorse.The PAC Data Structure is used by authentication protocols (protocols that verify identities) to transport authorization information, which controls access to resources.

Convalida del certificato attributi privilegiPAC validation

La convalida del certificato attributi privilegi è una funzionalità di sicurezza il cui scopo è impedire che un utente malintenzionato ottenga un accesso non autorizzato a un sistema o alle risorse di questo con un attacco man-in-the-middle, soprattutto nelle applicazioni in cui viene usata la rappresentazione dell'utente.PAC validation is a security feature to prevent an attacker from gaining unauthorized access to a system or its resources with a man-in-the-middle attack, especially in applications where user impersonation is used. La rappresentazione implica un'identità attendibile, ad esempio un account del servizio a cui sono concessi privilegi elevati per l'accesso alle risorse e l'esecuzione di attività.Impersonation involves a trusted identity, such as a service account that is granted elevated privileges to access resources and execute tasks. La convalida del certificato attributi privilegi favorisce una maggiore sicurezza dell'ambiente di autorizzazione nelle impostazioni di autenticazione Kerberos in cui si verifica la rappresentazione.PAC validation reinforces a more secure authorization environment in Kerberos authentication settings where impersonation occurs. La convalida del certificato attributi privilegi garantisce che i dati di autorizzazione presentati da un utente corrispondano esattamente a quelli concessi dal ticket Kerberos e che i privilegi del ticket non siano stati modificati.PAC validation ensures that a user presents exact authorization data as it was granted in the Kerberos ticket and that the ticket's privileges have not been modified.

Quando si verifica la convalida del certificato attributi privilegi, il server codifica un messaggio di richiesta contenente il tipo e la lunghezza della firma del certificato e la trasmette al controller di dominio.When the PAC validation occurs, the server encodes a request message containing the PAC signature type and length and transmits it to the DC. Il controller di dominio decodifica la richiesta ed estrae i valore di checksum del server e del Centro distribuzione chiavi (KDC, Key Distribution Center).The DC decodes the request and extracts the server checksum and the KDC checksum values. Se la verifica del checksum ha esito positivo, il controller di dominio restituisce un codice di riuscita al server.If the checksum verification succeeds, the DC returns a success code to the server. Un codice restituito di mancata riuscita indica che il certificato attributi privilegi è stato modificato.An unsuccessful return code indicates that the PAC has been altered.

Il contenuto del certificato attributi privilegi Kerberos viene firmato due volte:The Kerberos PAC content is signed twice:

  • Una volta con la chiave master del centro KDC, per impedire la modifica dei dati di autorizzazione da parte di servizi dannosi sul lato serverOnce with the master key of the KDC to prevent malicious server-side services from changing authorization data
  • Una volta con la chiave master dell'account del server delle risorse di destinazione, per evitare che un utente modifichi il contenuto del certificato attributi privilegi aggiungendo dati di autorizzazione personaliOnce with the master key of the destination resource server account to prevent a user from modifying the PAC content and adding their own authorization data

Vulnerabilità del certificato attributi privilegiPAC vulnerability

I bollettini sulla sicurezza MS14-068 e MS11-013 risolvono le vulnerabilità del centro KDC di Kerberos che consentono a un utente malintenzionato di modificare il campo relativo al certificato in un ticket Kerberos valido per attribuirsi privilegi aggiuntivi.Security bulletins MS14-068 and MS11-013 address vulnerabilities in the Kerberos KDC that might allow an attacker to manipulate the PAC field in a valid Kerberos Ticket, granting themselves additional privileges.

Attacco di escalation dei privilegi con dati di autorizzazione contraffattiPrivilege escalation using forged authorization data attack

Un attacco di escalation dei privilegi basata su dati di autorizzazione contraffatti è il tentativo da parte di un utente malintenzionato di sfruttare le vulnerabilità del certificato attributi privilegi per elevare i propri privilegi all'interno del dominio o della foresta Active Directory.A Privilege escalation using forged authorization data attack is an attempt by an attacker to take advantage of PAC vulnerabilities to elevate their privileges in your Active Directory Forest or Domain. Per eseguire questo tipo di attacco, l'utente malintenzionato deve avere:To perform this attack, the attacker must:

  • Credenziali di un utente del dominio.Have credentials to a domain user.
  • Connettività di rete a un controller di dominio utilizzabile per l'autenticazione tramite le credenziali di dominio compromesse.Have network connectivity to a Domain Controller that can be used to authenticate against the compromised domain credentials.
  • Strumenti adatti.Have the right tools. Python Kerberos Exploitation Kit (PyKEK) è un strumento noto per la contraffazione di certificati attributi privilegi.Python Kerberos Exploitation Kit (PyKEK) is a known tool which will forge PACs.

Se l'utente malintenzionato ha le credenziali e la connettività necessarie, può modificare o contraffare il certificato attributi privilegi di un token di accesso utente Kerberos esistente.If the attacker has the necessary credentials and connectivity, they can then modify or forge the Privileged Attribute Certificate (PAC) of an existing Kerberos user logon token (TGT). L'utente malintenzionato modifica l'attestazione di appartenenza a gruppi includendo un gruppo con privilegi più elevati, ad esempio il gruppo degli amministratori di dominio o dell'organizzazione.The attacker changes the group membership claim to include a higher-privileged group (for example, “Domain Administrators” or “Enterprise Administrators”). L'utente malintenzionato include quindi il certificato attributi privilegi modificato nel ticket Kerberos.The attacker then includes the modified PAC in the Kerberos Ticket. Il ticket viene quindi usato per richiedere un ticket di servizio a un controller di dominio in cui non sia stata installata la patch. Il controller di dominio concede all'utente malintenzionato autorizzazioni elevate per il dominio, tra cui l'autorizzazione a eseguire azioni da cui tale utente dovrebbe essere escluso.This Kerberos Ticket is then used to request a Service ticket from an unpatched Domain Controller (DC), giving the attacker elevated permissions in the domain and authorization to perform actions they are not meant to perform. L'utente malintenzionato può presentare il token di accesso utente modificato per richiedere token di accesso a qualsiasi risorsa presente nel dominio.An attacker can present the modified user logon token (TGT) to gain access to any resource in the domain by requesting resource access tokens (TGS). Ciò significa che un utente malintenzionato può oltrepassare tutti gli elenchi di controllo di accesso configurati per limitare l'accesso alla rete, effettuando lo spoofing dei dati di autorizzazione di qualsiasi utente in Active Directory.This means that an attacker can bypass all configured resource ACLs which limit access on the network by spoofing authorization data (PAC) for any user in Active Directory.

Individuazione dell'attaccoDiscovering the attack

Quando un utente malintenzionato tenta di acquisire privilegi più elevati, ATA lo rileva e lo segnala con un avviso di gravità elevata.When the attacker attempts to elevate their privileges, ATA will detect it and mark it as a high severity alert.

Attività identificabile come attacco basato su certificato attributi privilegi contraffatto

Nell'avviso relativo all'attività sospetta ATA indica se l'escalation dei privilegi basata su dati di autorizzazione contraffatti ha avuto esito positivo o meno.ATA will indicate in the suspicious activity alert whether the Privilege escalation using forged authorization data was successful or if it failed. È necessario analizzare sia gli avvisi relativi ad attacchi riusciti che quelli relativi ad attacchi non riusciti. I tentativi non riusciti, infatti, possono comunque indicare la presenza di un utente malintenzionato all'interno dell'ambiente.Both successful and failed alerts should be investigated, since failed attempts can still indicate an attacker’s presence in your environment.

AnalisiInvestigating

Dopo aver ricevuto l'avviso relativo all'escalation dei privilegi basata su dati di autorizzazione contraffatti, è necessario determinare le azioni da eseguire per attenuare l'attacco.After you receive the Privilege escalation using forged authorization data alert in ATA, you need to determine what needs to be done to mitigate the attack. A tale scopo, è prima necessario classificare l'avviso in base a uno dei livelli seguenti:To do this, you must first classify the alert as one of the following:

  • Vero positivo: azione dannosa rilevata da ATATrue positive: A malicious action detected by ATA
  • Falso positivo: un falso allarme, l'escalation dei privilegi basata su dati di autorizzazione contraffatti non è realmente avvenuta (si tratta di un evento che ATA scambia per un attacco di escalation dei privilegi effettuata usando dati di autorizzazione contraffatti)False positive: A false alert – the Privilege escalation using forged authorization data didn’t really happen (this is an event that ATA mistook for a Privilege escalation using forged authorization data attack)
  • Vero positivo non dannoso: azione reale, ma non dannosa, rilevata da ATA, ad esempio un test di penetrazioneBenign true positive: An action detected by ATA that is real but not malicious, such as a penetration test

Il diagramma seguente facilita la determinazione dei passaggi da eseguire:The following chart helps determine which steps you should take:

Diagramma dell'attacco basato su un certificato attributi privilegi contraffatto

  1. Controllare prima l'avviso nella sequenza temporale ATA per verificare se il tentativo di contraffazione dell'autorizzazione ha avuto esito positivo, negativo o se è stato solo un tentativo (anche i tentativi di attacco sono considerati attacchi non riusciti).First check the alert in the ATA attack timeline to see if the forged authorization attempt was successful, failed, or attempted (attempted attacks are also failed attacks). Sia i tentativi riusciti che quelli non riusciti risultano veri positivi, ma con gravità diversa all'interno dell'ambiente.Both successful and failed attempts can result in a True Positive, but with different severities within the environment.

    Attività identificabile come attacco basato su certificato attributi privilegi contraffatto

  2. Se l'attacco di escalation dei privilegi con dati di autorizzazione contraffatti ha avuto esito positivo:If the detected Privilege escalation using forged authorization data attack was successful:

    • Se nel controller di dominio in cui è stato generato l'avviso la patch è stata installata correttamente, si tratta di un falso positivo.If the DC on which the alert was raised is properly patched, it is a false positive. In questo caso, è consigliabile ignorare l'avviso e inviare un messaggio all'indirizzo ATAEval@microsoft.com per informare il team ATA, perché possa continuare a migliorare l'efficacia del rilevamento.In this case, you should dismiss the alert and send an email notifying the ATA team at ATAEval@microsoft.com so we can continuously improve our detections.
    • Se nel controller di dominio dell'avviso la patch non è stata installata in modo corretto:If the DC in the alert is not properly patched:
      • Se il servizio indicato nell'avviso non ha un proprio meccanismo di autorizzazione, si tratta di un vero positivo ed è consigliabile eseguire il processo predisposto dall'organizzazione in risposta a un evento imprevisto.If the service listed in the alert does not have its own authorization mechanism, this is a true positive and you should run your organization’s Incident Response (IR) process.
      • Se il servizio indicato nell'avviso ha un meccanismo di autorizzazione interno che richiede dati di autorizzazione, potrebbe essere erroneamente interpretato come un attacco basato sull'escalation dei privilegi effettuata usando dati di autorizzazione contraffatti.If the service listed in the alert has an internal authorization mechanism that requests authorization data, it might be falsely identified as a Privilege escalation using forged authorization data attack.
  3. Se l'attacco rilevato non è riuscito:If the detected attack failed:

    • Se è noto un comportamento del sistema operativo o dell'applicazione in grado di modificare il certificato attributi privilegi, si tratta probabilmente di un vero positivo non dannoso. È consigliabile intervenire su tale comportamento per correggerlo.If the operating system or the application is known to modify the PAC, then this is likely a benign true positive and you should work with the application or operating system owner to fix this behavior.

    • Se non è noto alcun comportamento del sistema operativo o dell'applicazione in grado di modificare il certificato attributi privilegi:If the operating system or the application is not known to modify the PAC:

      • Se il servizio indicato non ha un proprio servizio di autorizzazione, si tratta di un vero positivo ed è consigliabile eseguire il processo predisposto dall'organizzazione in risposta a un evento imprevisto.If the service listed does not have its own authorization service, this is a true positive, and you should run your organization’s Incident Response (IR) process. Anche se l'utente malintenzionato non è riuscito a elevare i propri privilegi nel dominio, è possibile presupporne la presenza all'interno della rete. È necessario individuarlo al più presto, prima che possa tentare altri attacchi persistenti avanzati per ottenere il suo scopo.Even though the attacker was not successful in elevating their privileges in the domain, you can assume there is an attacker in your network and you will want to find them as quickly as possible before they attempt other known advanced persistent attacks to elevate their privileges.
      • Se il servizio indicato nell'avviso ha un proprio meccanismo di autorizzazione che richiede dati di autorizzazione, potrebbe essere erroneamente interpretato come un attacco basato sull'escalation dei privilegi effettuata usando dati di autorizzazione contraffatti.If the service listed in the alert has its own authorization mechanism that requests authorization data, it might be falsely identified as a Privilege escalation using forged authorization data attack.

Dopo l'analisiPost investigation

È consigliabile avvalersi della collaborazione di un team di professionisti nel campo della risposta e del ripristino dopo eventi imprevisti, contattabile tramite il Team degli account Microsoft, per rilevare se un utente malintenzionato abbia distribuito metodi di persistenza nella reteMicrosoft recommends using a professional Incident Response & Recovery team, that can be reached via your Microsoft Account Team, to help detect whether an attacker has deployed methods of persistence in your network.

Strategia di riduzione del rischioMitigation

Applicare i bollettini sulla sicurezza MS14-068 e MS11-013 che risolvono le vulnerabilità del centro KDC di Kerberos.Apply security bulletins MS14-068 and MS11-013 that address vulnerabilities in the Kerberos KDC.

Vedere ancheSee Also