Active Directory Assessment con Purple Knight
Utilizzando Purple Knight è possibile effettuare un assessment di sicurezza di Active Directory con lo scopo di ridurre gli indicatori di espostizione (IeE) e gli indicatori di compromissione (IoC)
Active Directory è lo strumento di autenticazione ed autorizzazione utilizzato dal 90% delle aziende in tutto il mondo. Essendo la sua popolarità così elevata aumenta esponenzialmente la probabilità che venga attaccata da agenti esterni per minarne la sicurezza. Ne consegue che ridurre al minimo la superficie di attacco limita la probabilità che venga colpita con successo da un attacco informatico. Per raggiungere questo obiettivo è necessario effettuare periodicamente un assessment del suo stato e rimediare ad eventuali indicatori di esposizione rilevati.
Cos’è Purple Knight
Le vulnerabilità di Active Directory, Microsoft Entra ID ed Okta potrebbero dare ad un attaccante un accesso illimitato alle risorse dell’organizzazione. Semperis ha creato Purple Knight (PK), un tool gratuito di assessment per la sicurezza che aiuta a rilevare gli indicatori di esposizioni (IoE) e gli indicatori di compromissione (IoC) per gli ambienti elencati sopra. Per i più scettici all’utilizzo di tool gratuiti per gli assessment posso anticipare che gli script che vengono eseguiti sul sistema oggetto di assessment possono essere tranquillamente letti ed ispezionati.
Assessment
Per eseguire l’assessment di Active Directory seguire questi step.
Step 1 - Scaricare Purple Knight
Scaricare Purple Knight dal sito di Semperis. Il software scaricato andrà copiato sul domain controller oggetto di assessment Pagina per il download di Purple Knigh Community.
Semperis Purple Knight
Come anticipavo qualche riga sopra, il tool PK andrà copiato ed eseguito sul domain controller oggetto di assessment.
File compresso contenente Purple Knight Community appena scaricato
Step 2 - Sbloccare i file con Powershell
Avendo scaricato i file di PK da internet è importante eseguire lo sblocco dei file scaricati utilizzando Powershell:
1
Get-ChildItem -Path "C:\Install\PurpleKnight-Community\PK Community 4.2" -Recurse | Unblock-File
Esecuzione del comando Powershell per lo sblocco dei file
Step 3 - Eseguire Purple Knight
Non ci resta che eseguire l’eseguibile PurpleKnight.exe contenuto nella cartella di cui sopra.
Eseguire PurpleKnight.exe
Schermata di avvio:
Schermata di avvio
Prima di proseguire è necessario accettare il License Agreement
Schermata con il License Agreement
Verificare la presenza di aggiornamenti di programma e indicatori:
Verificare la presenza di aggiornamenti
Aggioramento degli indicatori di sicurezza in corso: 
Aggiornamento degli indicatori di sicurezza
Aggiornamento completato
Nella cartella script sono contenuti tutti quelli usate da PK nell’attività di assessment. Chi volesse può ispezionarne il contenuto per verificarne la sicurezza.
Cartella che contiene gli scripts utilizzati da PK
Scopo di questo assessment è Active Dictory di Microsoft. Selezionare la foresta e i domini interessati all’assessment:
Selezione di foresta e dominio AD
Tutti gli indicatori sono selezionati come impostazione predefinita ad eccezione della Zerologon vulnerability.
L’assessment di
Zerologon vulnerabilityin un ambiente di produzione potrebbe richiedere diverse ore di esecuzione. Il mio consiglio è di eseguire un primo assessment senza la vulnerabilità Zerologon e solo successivamente eseguirne uno dedicato a tale scopo.
Rivedere gli indicatori inclusi nella scansione
Il tempo di esecuzione per la scansione di default è di circa due munuti. 
Stato della scansione
Risultato dell’assessment con “valutazione” scolastica. 
Risultato dell’assessment
Esaminare il report
Il report HTML che appare visualizza Active Directory Security Assessment. Quest oreport va studiato nel dettaglio affinchè vengano poi applicate le opportune misure correttive.
Esaminare il risultato dell’assessment
Un esempio di uno dei tanti IoE trovati in esaminati in Active Directory. Privileged Account with a password that never expires.
Dettaglio di un IoC
Conclusioni
Purple Knight effettua l’assessment molto velocemente e restituisce risultati (vulnerabilità) che non ci si aspettava di avere. Questo genere di tool dovrebbe essere eseguito a cadenza regolare durante l’anno per convalidare la sicurezza dell’organizzazione. Ripetere il test ogni qualvolta avvengano dei cambiamente all’ambiente che potrebbero aumentare la superficie di attacco di Active Directory.