Post

Active Directory Assessment con Purple Knight

Utilizzando Purple Knight è possibile effettuare un assessment di sicurezza di Active Directory con lo scopo di ridurre gli indicatori di espostizione (IeE) e gli indicatori di compromissione (IoC)

Active Directory è lo strumento di autenticazione ed autorizzazione utilizzato dal 90% delle aziende in tutto il mondo. Essendo la sua popolarità così elevata aumenta esponenzialmente la probabilità che venga attaccata da agenti esterni per minarne la sicurezza. Ne consegue che ridurre al minimo la superficie di attacco limita la probabilità che venga colpita con successo da un attacco informatico. Per raggiungere questo obiettivo è necessario effettuare periodicamente un assessment del suo stato e rimediare ad eventuali indicatori di esposizione rilevati.

Cos’è Purple Knight

Le vulnerabilità di Active Directory, Microsoft Entra ID ed Okta potrebbero dare ad un attaccante un accesso illimitato alle risorse dell’organizzazione. Semperis ha creato Purple Knight (PK), un tool gratuito di assessment per la sicurezza che aiuta a rilevare gli indicatori di esposizioni (IoE) e gli indicatori di compromissione (IoC) per gli ambienti elencati sopra. Per i più scettici all’utilizzo di tool gratuiti per gli assessment posso anticipare che gli script che vengono eseguiti sul sistema oggetto di assessment possono essere tranquillamente letti ed ispezionati.

Assessment

Per eseguire l’assessment di Active Directory seguire questi step.

Step 1 - Scaricare Purple Knight

Scaricare Purple Knight dal sito di Semperis. Il software scaricato andrà copiato sul domain controller oggetto di assessment Pagina per il download di Purple Knigh Community.

Purple Knight Semperis Purple Knight

Come anticipavo qualche riga sopra, il tool PK andrà copiato ed eseguito sul domain controller oggetto di assessment.

Purple Knight Community File compresso contenente Purple Knight Community appena scaricato

Step 2 - Sbloccare i file con Powershell

Avendo scaricato i file di PK da internet è importante eseguire lo sblocco dei file scaricati utilizzando Powershell:

1
Get-ChildItem -Path "C:\Install\PurpleKnight-Community\PK Community 4.2" -Recurse | Unblock-File

Sblocco dei file Esecuzione del comando Powershell per lo sblocco dei file

Step 3 - Eseguire Purple Knight

Non ci resta che eseguire l’eseguibile PurpleKnight.exe contenuto nella cartella di cui sopra.

Eseguire PK Eseguire PurpleKnight.exe

Schermata di avvio:

Schermata di avvio Schermata di avvio

Prima di proseguire è necessario accettare il License Agreement

License Agreement Schermata con il License Agreement

Verificare la presenza di aggiornamenti di programma e indicatori:

Check for Updates Verificare la presenza di aggiornamenti

Aggioramento degli indicatori di sicurezza in corso: Check for Updates Aggiornamento degli indicatori di sicurezza

Check for Updates Aggiornamento completato

Nella cartella script sono contenuti tutti quelli usate da PK nell’attività di assessment. Chi volesse può ispezionarne il contenuto per verificarne la sicurezza.

Scripts folder Cartella che contiene gli scripts utilizzati da PK

Scopo di questo assessment è Active Dictory di Microsoft. Selezionare la foresta e i domini interessati all’assessment:

Selezione di foresta e dominio AD Selezione di foresta e dominio AD

Tutti gli indicatori sono selezionati come impostazione predefinita ad eccezione della Zerologon vulnerability.

L’assessment di Zerologon vulnerability in un ambiente di produzione potrebbe richiedere diverse ore di esecuzione. Il mio consiglio è di eseguire un primo assessment senza la vulnerabilità Zerologon e solo successivamente eseguirne uno dedicato a tale scopo.

Rivedere gli indicatori inclusi nella scansione Rivedere gli indicatori inclusi nella scansione

Il tempo di esecuzione per la scansione di default è di circa due munuti. Stato della scansione Stato della scansione

Risultato dell’assessment con “valutazione” scolastica. Risultato dell'assessment Risultato dell’assessment

Esaminare il report

Il report HTML che appare visualizza Active Directory Security Assessment. Quest oreport va studiato nel dettaglio affinchè vengano poi applicate le opportune misure correttive.

Risultato dell'assessment Esaminare il risultato dell’assessment

Un esempio di uno dei tanti IoE trovati in esaminati in Active Directory. Privileged Account with a password that never expires.

Dettaglio di un IoC Dettaglio di un IoC

Conclusioni

Purple Knight effettua l’assessment molto velocemente e restituisce risultati (vulnerabilità) che non ci si aspettava di avere. Questo genere di tool dovrebbe essere eseguito a cadenza regolare durante l’anno per convalidare la sicurezza dell’organizzazione. Ripetere il test ogni qualvolta avvengano dei cambiamente all’ambiente che potrebbero aumentare la superficie di attacco di Active Directory.

Bibliografia

Questo post è sotto licenza CC BY 4.0 a nome dell'autore.