Molte agenzie di sicurezza come CISA e NSA hanno recentemente lanciato un allarme riguardo agli attacchi DCSync, una tecnica che sfrutta il protocollo Microsoft Directory Replication Service per compromettere la sicurezza di reti basate su Active Directory. Gli attacchi DCSync consentono agli aggressori di simulare un controller di dominio e ottenere dati sensibili come gli hash delle password degli utenti, compresi quelli degli account privilegiati.
Questa tecnica permette non solo di compromettere le credenziali degli utenti, ma anche di eseguire un’escalation dei privilegi, consentendo ai cybercriminali di muoversi lateralmente nella rete e accedere a risorse sensibili.
Un attacco DCSync non richiede un accesso fisico ai controller di dominio, ma solo un account con privilegi sufficienti, in particolare i diritti di replica, inclusi Replicating Directory Changes, Replicating Directory Changes All e Replicating Directory Changes In Filtered Set.
Una volta ottenuti i privilegi necessari, l’aggressore può individuare un controller di dominio (DC) nella rete e inviare una richiesta per replicare le informazioni sugli utenti. Attraverso comandi specifici come GetNCChanges, l’attaccante può ottenere dati sensibili. Quando il DC riceve questa richiesta, risponde fornendo le informazioni richieste, in quanto il protocollo è progettato per replicare le modifiche necessarie a mantenere la coerenza dei dati all’interno di un ambiente Active Directory. In questo caso, però, l’aggressore sfrutta una funzione legittima per accedere a credenziali sensibili senza autorizzazione. Gli hash delle password ottenuti non sono visibili in chiaro, ma rappresentano una versione crittografata delle password, che gli attaccanti possono utilizzare per successivi attacchi di cracking offline o per applicare tecniche come Pass-the-Hash per accedere ad altre risorse nella rete.
Gli attacchi DCSync sono particolarmente insidiosi perché possono essere eseguiti da remoto senza bisogno di accesso fisico ai server. Utilizzando strumenti come Mimikatz e Impacket, un aggressore con comandi di replica può estrarre credenziali e aumentare i propri privilegi fino a creare “Golden Tickets”, ovvero ticket Kerberos falsificati che garantiscono accesso illimitato alle risorse del dominio compromesso.
Gli esperti sottolineano che individuare questo tipo di attacco può essere complesso, poiché le attività eseguite dall’aggressore si confondono con le normali operazioni di replica all’interno della rete.
Impatti di un attacco DCSync
Un attacco DCSync può avere conseguenze devastanti per la sicurezza di un ambiente Active Directory. Quando un attaccante riesce a ottenere gli hash delle password, compromette le credenziali degli utenti e consente l’accesso a risorse protette e dati sensibili, permettendo loro di impersonare utenti legittimi senza destare sospetti.
Inoltre, se gli aggressori ottengono hash di account privilegiati, come quelli di Domain Admin o Enterprise Admin, possono elevarsi a privilegi critici, controllando l’intera infrastruttura e aumentando il rischio di compromissione. Un aspetto particolarmente preoccupante è la possibilità di creare “Golden Tickets”, che offrono accesso illimitato a qualsiasi risorsa nel dominio compromesso, rendendo difficile la rilevazione delle loro attività.
Mitigazione degli attacchi DCSync
Per mitigare un attacco DCSync, è fondamentale adottare un approccio strategico. Limitare il numero di account con privilegi elevati è cruciale: mantenere solo gli amministratori realmente necessari riduce il rischio di compromissione. Applicare il principio del minimo privilegio, monitorare costantemente l’Active Directory e implementare soluzioni di auditing e logging sono passi essenziali. Registrare eventi critici offre visibilità sulla sicurezza e permette di rilevare tempestivamente attività sospette. Infine, proteggere gli account amministrativi attraverso Criteri di Gruppo (GPO) e disabilitare deleghe “non vincolate” sono misure efficaci per ridurre le opportunità di attacco.
https://www.cybersecitalia.it/comprendere-e-mitigare-gli-attacchi-dcsync/40298/
