Passa a contenuti principali
Microsoft 365
Abbonati

Best practice su Azure AD e ADFS: protezione dagli attacchi password spraying

Presso

Salve ragazzi,

da quando sono state introdotte le password, si è sempre cercato di scoprirle. In questo blog, illustreremo un attacco comune che di recente è diventato MOLTO più frequente e alcune best practice per proteggerci da esso. Questo attacco è comunemente denominato password spraying.

In un attacco password spraying, gli utenti malintenzionati provano le password più comuni in molti account e dispositivi diversi per ottenere l’accesso a qualsiasi risorsa protetta da password che possono trovare. In genere, si tratta di varie organizzazioni e provider di identità. Ad esempio, un utente malintenzionato userà un toolkit comunemente disponibile come Mailsniper per ottenere un elenco di tutti gli utenti di diverse organizzazioni e quindi proverà “P@$$w0rd” e “Password1” in tutti quegli account. Per farvi un’idea, ecco come potrebbe essere un attacco:

Utente di destinazione Password di destinazione
Utente1@org1.com Password1
Utente2@org1.com Password1
Utente1@org2.com Password1
Utente2@org2.com Password1
Utente1@org1.com P@$$w0rd
Utente2@org1.com P@$$w0rd
Utente1@org2.com P@$$w0rd
Utente2@org2.com P@$$w0rd

Questo modello di attacco sfugge alla maggior parte delle tecniche di rilevamento perché, dal punto di vista di un singolo utente o di una società, l’attacco sembra solo un tentativo di accesso non riuscito isolato.

Per gli utenti malintenzionati, è una questione di numeri: sanno che ci sono delle password molto comuni. Anche se queste password più comuni valgono solo per lo 0,5-1% degli account, l’utente malintenzionato otterrà comunque dei buoni risultati su una parte delle migliaia di account attaccati, e questo è sufficiente.

L’hacker usa gli account per ottenere dati dai messaggi di posta elettronica, per raccogliere informazioni di contatto e per inviare link di phishing o semplicemente ampliare il gruppo di destinazione degli attacchi password spray. Per gli utenti malintenzionati non è tanto importante chi siano gli utenti di destinazione iniziali; la cosa che conta di più per loro è ottenere dei risultati positivi da poter sfruttare.

Microsoft offre già numerosi strumenti per mitigare questi attacchi, ma la buona notizia è che presto ne renderà disponibili molti altri. Continuate a leggere questo articolo per scoprire cosa potete fare ora e nei prossimi mesi per bloccare gli attacchi password spraying.

Quattro semplici passaggi per interrompere gli attacchi password spraying

Passaggio 1: usare l’autenticazione del cloud

Nel cloud, ogni giorno rileviamo miliardi di accessi ai sistemi Microsoft. I nostri algoritmi di rilevamento di sicurezza ci permettono di individuare e bloccare gli attacchi nel momento in cui si verificano. Trattandosi di sistemi di protezione e rilevamento in tempo reale eseguiti dal cloud, sono disponibili solo quando viene effettuata l’Autenticazione di Azure AD nel cloud (compresa l’autenticazione pass-through).

Blocco intelligente

Nel cloud, usiamo la funzione di blocco intelligente per distinguere i tentativi di accesso che sembrano provenienti da un utente valido dai tentativi di accesso potenzialmente eseguiti da un utente malintenzionato. Possiamo bloccare l’utente malintenzionato permettendo all’utente valido di continuare a usare l’account in questione. In questo modo, riusciamo a impedire gli attacchi Denial of Service destinati all’utente e a interrompere gli attacchi password più sofisticati. Questo strumento si applica a tutti gli accessi di Azure AD, indipendentemente dal livello di licenza, e a tutti gli accessi degli account Microsoft.

I tenant che usano Active Directory Federation Services (ADFS) potranno usare la funzione di blocco intelligente in modo nativo in ADFS in Windows Server 2016 a partire da marzo 2018 (questa funzionalità verrà resa disponibile tramite Windows Update).

Blocco IP

La funzione di blocco IP consente di analizzare i miliardi di accessi per valutare la qualità del traffico da ogni indirizzo IP che interessa i sistemi Microsoft. Con tale analisi, questa funzionalità consente di trovare gli indirizzi IP che risultano dannosi e blocca quegli accessi in tempo reale.

Simulazioni di attacchi

Ora disponibile in anteprima pubblica, il simulatore di attacchi incluso in Office 365 Threat Intelligence consente ai clienti di lanciare degli attacchi simulati ai propri utenti finali, di determinare il comportamento degli utenti in caso di attacco, di aggiornare i criteri e di garantire che siano presenti gli strumenti di sicurezza appropriati per proteggere l’organizzazione da minacce come gli attacchi password spraying.

Ecco alcune misure che vi consigliamo di adottare prima possibile:

  1. Se usate l’autenticazione del cloud, non avrete alcun problema.
  2. Se usate ADFS o un altro scenario ibrido, verificate la disponibilità di un aggiornamento di ADFS a marzo 2018 per il blocco intelligente
  3. Usate il simulatore di attacchi per valutare in modo proattivo il vostro stato di sicurezza e apportare le modifiche necessarie.

Passaggio 2: usare l’autenticazione a più fattori

Una password è la chiave per accedere a un account; se un attacco password spraying ha esito positivo, significa che l’utente malintenzionato ha indovinato la password corretta. Per bloccarlo, dobbiamo usare qualcosa di più che una semplice password per distinguere il proprietario dell’account dall’autore dell’attacco. Di seguito vengono illustrati i tre modi per farlo.

Autenticazione a più fattori basata sui rischi

Azure AD Identity Protection sfrutta i dati di accesso menzionati in precedenza e li aggiunge a uno strumento di rilevamento algoritmico e di apprendimento automatico avanzato per valutare i potenziali rischi di ogni tentativo di accesso al sistema. In questo modo, i clienti aziendali possono creare dei criteri in Identity Protection che richiedono a un utente di eseguire l’autenticazione con un secondo fattore se e solo se viene rilevato un rischio per l’utente o per la sessione. Ciò riduce le responsabilità degli utenti e crea dei blocchi per gli utenti malintenzionati. Scoprite di più su Azure AD Identity Protection qui.

Autenticazione a più fattori always-on

Per una maggiore sicurezza, potete usare Azure MFA per richiedere l’autenticazione a più fattori per gli utenti in qualsiasi caso, per l’autenticazione del cloud e ADFS. Ciò richiede agli utenti finali di avere sempre a disposizione i propri dispositivi e di eseguire l’autenticazione a più fattori con maggiore frequenza, ma fornisce il massimo della sicurezza per l’azienda. Questa funzionalità dovrebbe essere abilitata per tutti gli amministratori in un’organizzazione. Scoprite di più sull’Azure Multi-Factor Authentication qui e su come configurare Azure MFA per ADFS.

Azure MFA come autenticazione primaria

In ADFS 2016, è possibile usare Azure MFA come metodo primario per l’autenticazione senza password. È uno strumento ottimale per proteggersi da attacchi password spraying e furti di password: se non c’è una password, non può essere indovinata. È perfetto per tutti i tipi di dispositivi con vari fattori di forma. Inoltre, ora è possibile usare la password come secondo fattore solo dopo che l’OTP (One Time Password, password monouso) è stata convalidata con Azure MFA. Scoprite di più sull’utilizzo di una password come secondo fattore qui.

Ecco alcune misure che vi consigliamo di adottare prima possibile:

  1. Consigliamo vivamente di abilitare l’autenticazione a più fattori always-on per tutti gli amministratori all’interno dell’organizzazione, soprattutto per i proprietari delle sottoscrizioni e per gli amministratori dei tenant. Davvero, seguite subito il nostro consiglio.
  2. Per l’esperienza ottimale per gli altri utenti, consigliamo l’autenticazione a più fattori basata sui rischi, che è disponibile con le licenze di Azure AD Premium P2.
  3. Altrimenti, potete usare Azure MFA per l’autenticazione del cloud e ADFS.
  4. In ADFS, eseguite l’aggiornamento di ADFS su Windows Server 2016 in modo da usare Azure MFA come autenticazione primaria, soprattutto per tutti gli accessi Extranet.

Passaggio 3: password migliori per tutti

Anche adottando tutte le misure finora descritte, un componente chiave della difesa da attacchi password spraying è l’adozione di password complesse da parte di tutti gli utenti. Non è detto che gli utenti sappiano come creare password difficili da indovinare. Per fornire assistenza in questo senso, Microsoft offre gli strumenti seguenti.

Password escluse

In Azure AD, tutte le operazioni di modifica e recupero delle password vengono eseguite tramite uno strumento di controllo delle password escluse. Quando viene inviata una nuova password, viene confrontata con un elenco di parole che non dovrebbero mai essere usate nelle password (e l’ortografia l33t-sp3@k non è di certo utile). Se viene trovata una corrispondenza, la password viene rifiutata e all’utente viene richiesto di sceglierne una più complessa. Compiliamo l’elenco delle password che subiscono il maggior numero di attacchi e lo aggiorniamo di frequente.

Password escluse personalizzate

Per rendere le password escluse ancora più efficaci, vogliamo consentire ai tenant di personalizzare i propri elenchi di password escluse. Gli amministratori possono scegliere parole comuni per la propria organizzazione (dipendenti e fondatori noti, prodotti, luoghi, simboli locali e così via) e impedirne l’utilizzo nelle password degli utenti. Questo elenco verrà applicato insieme con quello globale, quindi non sarà necessario sceglierne uno dei due. Per ora si tratta di un’anteprima limitata, ma verrà rilasciata entro quest’anno.

Password escluse per modifiche in ambienti locali

Questa primavera introdurremo uno strumento che consente agli amministratori aziendali di escludere le password in ambienti Azure AD Active Directory ibridi. Gli elenchi delle password escluse saranno sincronizzati dal cloud agli ambienti locali e applicati a tutti i controller di dominio con l’agente. Gli amministratori potranno quindi garantire che le password degli utenti siano più complesse indipendentemente da dove l’utente modifica la propria password (nel cloud o in locale). Questa funzionalità è stata introdotta in anteprima privata limitata a febbraio 2018 e quest’anno sarà resa disponibile a livello generale.

Cambiate la vostra idea di password

Molti luoghi comuni su ciò che rende una password efficace sono errati. In genere, una cosa che dovrebbe dimostrarsi utile si traduce matematicamente in un comportamento prevedibile dell’utente: ad esempio, la richiesta di determinati tipi di carattere e modifiche periodiche della password danno vita a specifici modelli di password. Consultate il nostro white paper con indicazioni sulle password per maggiori dettagli. Se usate Active Directory con PTA o ADFS, aggiornate i criteri per le password. Se usate account gestiti nel cloud, prendete in considerazione l’idea di impostare le vostre password in modo che non scadano mai.

Ecco alcune misure che vi consigliamo di adottare prima possibile:

  1. Quando viene rilasciato, installate lo strumento per le password escluse di Microsoft in locale per aiutare gli utenti a creare password migliori.
  2. Controllate i vostri criteri per le password: vi consigliamo di impostarli in modo che le password non scadano mai per evitare che gli utenti usino modelli stagionali per la creazione delle password.

Passaggio 4: altre funzionalità straordinarie in ADFS e Active Directory

Se usate l’autenticazione ibrida con ADFS e Active Directory, esistono altre azioni che potete intraprendere per proteggere il vostro ambiente dagli attacchi password spraying.

Per prima cosa, le organizzazioni con ADFS 2.0 o Windows Server 2012 dovrebbero passare ad ADFS su Windows Server 2016 prima possibile. L’ultima versione sarà aggiornata più rapidamente con un set ancora più ricco di funzionalità, come il blocco Extranet. E ricordate: è facilissimo eseguire l’aggiornamento da Windows Server 2012 R2 a 2016.

Bloccare l’autenticazione legacy dall’Extranet

I protocolli di autenticazione legacy non possono applicare MFA, quindi l’approccio migliore consiste nel bloccarli dall’Extranet. Così facendo, si evita che gli autori degli attacchi password spraying sfruttino l’assenza di MFA su tali protocolli.

Abilitare il blocco Extranet per il proxy di applicazione Web di ADFS

Se non avete abilitato il blocco Extranet per il proxy di applicazione Web di ADFS, dovreste farlo prima possibile per proteggere gli utenti da potenziali attacchi di forza bruta alle password.

Distribuire Azure AD Connect Health per ADFS

Azure AD Connect Health acquisisce gli indirizzi IP registrati nei log di ADFS per richieste di nome utente/password non valide, fornisce report aggiuntivi su una serie di scenari e ulteriori dettagli per supportare gli ingegneri con i casi di supporto assistito.

Per eseguire la distribuzione, scaricate l’ultima versione dell’agente di Azure AD Connect Health per ADFS in tutti i server ADFS (2.6.491.0). I server ADFS devono eseguire Windows Server 2012 R2 con KB 3134222 o Windows Server 2016.

Usare metodi di accesso non basati sulle password

Senza una password, non deve essere indovinata alcuna password. Questi metodi di autenticazione non basati sull’uso di password sono disponibili per ADFS e per il proxy d applicazione Web:

  1. L’autenticazione basata su certificato fa in modo che gli endpoint di nome utente/password siano completamente bloccati a livello del firewall. Scoprite di più sull’autenticazione basata su certificato in ADFS.
  2. Come indicato in precedenza, è possibile utilizzare Azure MFA come secondo fattore nell’autenticazione del cloud e in ADFS 2012 R2 e 2016. Tuttavia, può essere usato anche come fattore primario in ADFS 2016 per bloccare qualsiasi tentativo di attacco password spraying. Scoprite come configurare Azure MFA con ADFS qui.
  3. Windows Hello for Business, disponibile in Windows 10 e supportato da ADFS in Windows Server 2016, consente l’accesso senza password, anche dall’Extranet, in base a chiavi crittografiche complesse legate sia all’utente sia al dispositivo. Questa funzionalità è disponibile per i dispositivi gestiti dalle aziende aggiunti ad Azure AD o ad Azure AD ibrido e per i dispositivi personali tramite l’opzione di aggiunta dell’account aziendale o dell’istituto di istruzione dall’app Impostazioni. Ottenete maggiori informazioni su Hello for Business.

Ecco alcune misure che vi consigliamo di adottare prima possibile:

  1. Passare ad ADFS 2016 per aggiornamenti più rapidi
  2. Bloccate l’autenticazione legacy dall’Extranet.
  3. Distribuite gli agenti di Azure AD Connect Health per ADFS in tutti i server ADFS.
  4. Prendete in considerazione l’idea di usare un metodo di autenticazione primaria senza password come Azure MFA, i certificati o Windows Hello for Business.

Bonus: protezione degli account Microsoft

Se avete un account Microsoft:

  • Ottime notizie: siete già protetti! Gli account Microsoft includono il blocco intelligente, il blocco IP, la verifica in due passaggi basata sui rischi, le password escluse e altro.
  • Tuttavia, date un’occhiata alla pagina sulla sicurezza dell’account Microsoft e scegliete “Aggiornamento delle informazioni di sicurezza” per controllare le informazioni di sicurezza usate per la verifica in due passaggi basata sui rischi.
  • Abilitate la verifica in due passaggi always-on qui per il massimo della sicurezza del vostro account.

La migliore difesa è… seguire i suggerimenti di questo blog

Gli attacchi password spraying sono una seria minaccia per tutti i servizi su Internet che sfruttano le password, ma seguendo i suggerimenti di questo blog avrete il massimo della protezione contro questo vettore di attacco. Inoltre, dal momento che molti tipi di attacchi hanno caratteristiche simili, questi sono decisamente dei buoni suggerimenti per la protezione. La vostra sicurezza è sempre la nostra massima priorità e ci impegniamo costantemente per sviluppare nuove misure di protezione avanzata contro gli attacchi password spraying e qualsiasi altro tipo di minaccia. Usate questi consigli e continuate a consultare questa pagina per verificare la disponibilità di nuovi strumenti di difesa contro gli utenti malintenzionati che minacciano la sicurezza su Internet.

Spero che troverete utili queste informazioni. Come sempre, ci farebbe piacere ricevere feedback o suggerimenti.

Con i migliori saluti,

Alex Simons (Twitter: @Alex_A_Simons)

Director di Program Management

Microsoft Identity Division

Post correlati