Che cos'è un attacco alle password?

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Un requisito per l'accesso Single Sign-On federato è la disponibilità degli endpoint per l'autenticazione tramite Internet. La disponibilità degli endpoint di autenticazione in Internet consente agli utenti di accedere alle applicazioni anche quando non si trovano in una rete aziendale.

Ciò significa anche che alcuni attori malintenzionati possono sfruttare i vantaggi degli endpoint federati disponibili su Internet per usare questi endpoint per cercare di determinare le password o creare attacchi Denial of Service. Un attacco di questo tipo che sta diventando più comune è detto attacco alle password.

Esistono due tipi di attacchi comuni alle password. Attacco password spraying e attacco di forza bruta alla password.

Attacco password spraying

In un attacco password spray, i malintenzionati proveranno le password più comuni in molti account e servizi diversi per ottenere l'accesso a qualsiasi asset protetto da password che possano trovare. In genere questi si estendono su molte organizzazioni e provider di identità diversi. Ad esempio, un utente malintenzionato userà un toolkit comunemente disponibile per enumerare tutti gli utenti in diverse organizzazioni e quindi provare "P@$$w0rD" e "Password1" per tutti gli account. Per dare l'idea, un attacco potrebbe essere simile al seguente:

Utente di destinazione	Password di destinazione
User1@org1.com	Password1
User2@org1.com	Password1
User1@org2.com	Password1
User2@org2.com	Password1
...	...
User1@org1.com	P@$$w0rD
User2@org1.com	P@$$w0rD
User1@org2.com	P@$$w0rD
User2@org2.com	P@$$w0rD

Questo modello di attacco sfugge alla maggior parte delle tecniche di rilevamento perché dal punto di vista di un singolo utente o di un’azienda, l'attacco è simile a un accesso isolato non riuscito.

Per gli utenti malintenzionati, si tratta di una questione puramente numerica: sanno che ci sono alcune password che sono più comuni. L'azione dell’utente malintenzionato avrà successo alcune volte per ogni migliaia di account attaccati, e si tratta di una buona media, ritenuta efficace. I malintenzionati usano gli account per ottenere dati dai messaggi di posta elettronica, raccogliere informazioni di contatto e inviare collegamenti di phishing o semplicemente espandere il gruppo di destinazione del password spray. Gli utenti malintenzionati non si preoccupano molto di chi sono gli obiettivi iniziali, ma solo di conseguire un certo tasso di successo che possono poi sfruttare.

Tuttavia, eseguendo alcuni passaggi per configurare correttamente AD FS e la rete, gli endpoint AD FS possono essere protetti da questi tipi di attacchi. Questo articolo illustra 3 aree che devono essere configurate correttamente per proteggersi da questi attacchi.

Attacchi alle password brute force

In questa forma di attacco, l’utente malintenzionato proverà più password rispetto al caso di un set mirato di account. In molti casi, questi account verranno presi di mira in relazione agli utenti con un livello di accesso superiore all'interno dell'organizzazione. Può trattarsi di dirigenti all'interno dell'organizzazione o amministratori che gestiscono l'infrastruttura critica.

Questo tipo di attacco può comportare anche modelli DOS. Può avvenire al livello di servizio in cui AD FS non è in grado di elaborare un numero elevato di richieste a causa di un numero insufficiente di server. Può avvenire a un livello di utente in cui un utente è bloccato dal proprio account.

Protezione di AD FS dagli attacchi alle password

Tuttavia, eseguendo alcuni passaggi per configurare correttamente AD FS e la rete, gli endpoint AD FS possono essere protetti da questi tipi di attacchi. Questo articolo illustra 3 aree che devono essere configurate correttamente per proteggersi da questi attacchi.

• Livello 1, Baseline: si tratta delle impostazioni di base che devono essere configurate in un server AD FS per garantire che gli attori malintenzionati non possano attaccare gli utenti federati con un attacco di tipo brute force.
• Livello 2, Protezione della extranet: si tratta delle impostazioni che devono essere configurate per garantire che l'accesso extranet sia configurato per l'uso di protocolli sicuri, criteri di autenticazione e applicazioni appropriate.
• Livello 3, Passaggio a una soluzione password-less per l'accesso extranet: si tratta di impostazioni e linee guida avanzate per consentire l'accesso alle risorse federate con credenziali più sicure anziché password soggette ad attacchi.

Livello 1: Baseline

1. In AD FS 2016 implementamdo blocco intelligente extranet il blocco intelligente Extranet si tiene traccia delle posizioni familiari e consentirà a un utente valido di accedere se in precedenza ha eseguito correttamente l'accesso da tale posizione. Usando il blocco intelligente extranet, è possibile assicurarsi che gli attori malintenzionati non saranno in grado di attaccare utenti con modalità brute force e allo stesso tempo sarà possibile per l'utente legittimo essere produttivo.

   Se non si usa AD FS 2016, è consigliabile eseguire l’upgrade ad AD FS 2016. Si tratta di un semplice percorso di aggiornamento da AD FS 2012 R2. Se si usa AD FS 2012 R2, implementare il blocco extranet. Uno svantaggio di questo approccio è che gli utenti validi possono essere bloccati dall'accesso extranet se si ci si trova in un modello di brute force. AD FS su Server 2016 non presenta questo svantaggio.

2. Monitorare e bloccare indirizzi IP sospetti

   Se si dispone di Microsoft Entra ID P1 o P2, implementare Connessione Health per AD FS e usare le notifiche del report IP rischioso fornite.

   a. La licenza non è per tutti gli utenti e sono necessarie 25 licenze per ogni server AD FS/WAP, che può essere facile per un cliente.

   b. È ora possibile analizzare gli indirizzi IP che generano un numero elevato di tentativi di accesso non riusciti.

   c. Ciò richiederà l'abilitazione del controllo sui server AD FS.

3. Bloccare gli indirizzi IP sospetti. Ciò blocca potenzialmente gli attacchi DOS.

   a. Se nel 2016, usare la funzionalità indirizzi IP esclusi da Extranet per bloccare eventuali richieste provenienti da IP contrassegnati da #3 (o analisi manuale).

   b. Se si usa AD FS 2012 R2 o una versione precedente, bloccare l'indirizzo IP direttamente in Exchange Online e, facoltativamente, nel firewall.

4. Se si dispone di Microsoft Entra ID P1 o P2, usare la protezione password di Microsoft Entra per impedire che le password individuabili vengano inserite nell'ID Microsoft Entra.

   a. Se si dispone di password individuabili, è possibile crearle con soli 1-3 tentativi. Questa funzionalità impedisce che vengano impostate.

   b. Dalle statistiche di anteprima, quasi il 20-50% delle nuove password viene bloccato al momento della loro impostazione. Ciò implica che una certa percentuale di utenti è vulnerabile alle password facilmente intuibili.

Livello 2: Proteggere la extranet

1. Passare all'autenticazione moderna per tutti i client che accedono dalla extranet. I client di posta sono una parte importante di questo.

   a. Sarà necessario usare Outlook Mobile per i dispositivi mobili. La nuova app di posta elettronica nativa iOS supporta anche l'autenticazione moderna.

   b. Sarà necessario usare Outlook 2013 (con le patch CU più recenti) o Outlook 2016.

2. Abilitare MFA per tutti gli accessi extranet. In questo modo è stata aggiunta la protezione per qualsiasi accesso extranet.

   a. Se si dispone di Microsoft Entra ID P1 o P2, usare i criteri di accesso condizionale di Microsoft Entra per controllarlo. Questo è preferibile rispetto all'implementazione delle regole in AD FS. Ciò è dovuto al fatto che le app client moderne vengono applicate su base più frequente. Ciò si verifica, in Microsoft Entra ID, quando si richiede un nuovo token di accesso (in genere ogni ora) usando un token di aggiornamento.

   b. Se non si ha Microsoft Entra ID P1 o P2 o si dispone di app aggiuntive in AD FS che consentono l'accesso basato su Internet, implementare l'autenticazione a più fattori Microsoft Entra e configurare un criterio di autenticazione a più fattori globale per tutti gli accessi extranet.

Livello 3: Passare alla modalità password-less per l'accesso extranet

1. Passare a Window 10 e usare Hello For Business.

2. Per altri dispositivi, se in AD FS 2016, è possibile usare Microsoft Entra multifactor authentication OTP come primo fattore e password come secondo fattore.

3. Per i dispositivi mobili, se si consentono solo dispositivi gestiti MDM, è possibile usare i Certificati per consentire di accedere all'utente.

Gestione urgente

Se l'ambiente AD FS è sotto un attacco attivo, è necessario implementare i passaggi seguenti al più presto:

• Disabilitare gli endpoint nome utente e password in AD FS e richiedere a tutti di usare una VPN per ottenere l'accesso o essere all'interno della rete. Questo richiede il completamento del passaggio livello 2 #1a. In caso contrario, tutte le richieste interne di Outlook verranno comunque instradate tramite il cloud mediante l'autenticazione proxy EXO.
• Se l'attacco viene eseguito solo tramite EXO, è possibile disabilitare l'autenticazione di base per i protocolli di Exchange (POP, IMAP, SMTP, EWS e così via) usando criteri di autenticazione, questi protocolli e metodi di autenticazione vengono usati nella maggior parte di tali attacchi. Inoltre, le regole di accesso client in EXO e l'abilitazione del protocollo per ogni cassetta postale vengono valutate dopo l'autenticazione e non consentono di attenuare gli attacchi.
• Offrire in modo selettivo l'accesso extranet usando il livello 3 #1-3.

Passaggi successivi

• Eseguire l'aggiornamento al server AD FS 2016
• Blocco intelligente Extranet in AD FS 2016
• Configurare i criteri di accesso condizionale
• Protezione password di Microsoft Entra