Oggi parliamo di un argomento caldo, ma spesso trascurato: la sicurezza di Active Directory (AD). Se siete in azienda, probabilmente sapete che Active Directory è il cuore pulsante di tantissime operazioni: gestisce utenti, accessi, permessi e praticamente tutto ciò che riguarda le identità digitali. Per questo, è anche un bersaglio primario per i cybercriminali.

Detto questo è evidente che se AD non è messa in sicurezza, niente lo è. E purtroppo, non basta avere un buon antivirus o un firewall robusto. Gli attaccanti sono sempre più furbi e si concentrano su punti deboli che spesso passano inosservati.

Ecco quindi quali sono i 10 rischi comuni alle organizzazioni che il team di Identity Forensics and Incident Response (IFIR) di Semperis ha scoperto “sul campo” durante le indagini post-breach.

Ho pensato di riassumerli qui, perché sono davvero illuminanti e ci aiutano a capire meglio dove focalizzare i nostri sforzi per proteggere Active Directory e la vostra infrastruttura IT.

Non solo attacchi: configurazioni errate e vulnerabilità di Active Directory

Spesso, i problemi non nascono da un attacco sofisticato, ma da semplici errori di configurazione Active Directory che, se non vengono corretti, diventano delle vere e proprie “autostrade” per i malintenzionati.

Ecco alcuni dei punti cruciali che vengono fuori dall’esperienza di Semperis, utili per la vostra strategia di cyber security:

1. Permessi mal configurati e percorsi di attacco Tier0

Uno dei rischi più sottovalutati è la concessione indiretta di privilegi elevati, come quelli necessari per eseguire comandi DCSync, che consentono a un utente di replicare le password di tutti gli account del dominio.

Anche se l’assegnazione di questi privilegi non è diretta, può avvenire in modo implicito attraverso gruppi o deleghe mal gestite. Il risultato? Accesso completo e invisibile ai dati più sensibili del dominio.

2. Attacchi ESC1 attraverso i Servizi Certificati Active Directory (ADCS)

Il sottosistema di gestione dei certificati di Active Directory può diventare un’arma potentissima nelle mani degli attaccanti. In particolare:

Template mal configurati, permessi di iscrizione troppo permissivi o l’uso incauto della Web Enrollment aprono la strada ad attacchi ESC1, che permettono l’impersonificazione di utenti o l’elevazione dei privilegi.
Se i certificati permettono all’utente di definire il “subject” (campo che identifica l’identità del certificato), l’attaccante può farsi passare per un altro utente, anche amministratore.

3. Modifica dei template da parte di utenti a basso privilegio

In alcuni ambienti, utenti non amministratori sono in grado di modificare i template dei certificati. Questo permette loro di attivare flag pericolosi come ENROLLEE_SUPPLIES_SUBJECT, trasformando un template legittimo in uno vulnerabile, utilizzabile per impersonificare altri utenti.

4. Template con Client Authentication e flag pericolosi

Quando i computer di dominio possono iscriversi automaticamente a template che includono l’EKU Client Authentication e il flag ENROLLEE_SUPPLIES_SUBJECT, si crea una condizione estremamente rischiosa. È un vettore di attacco spesso trascurato, ma facilmente sfruttabile.

5. Account privilegiati con SPN assegnati = Kerberoasting

Gli SPN (Service Principal Name) permettono a un utente autenticato nel dominio di richiedere un ticket Kerberos per un servizio. Se quell’SPN è associato a un account privilegiato, l’attaccante può catturare il ticket e avviare un attacco Kerberoasting offline, tentando di craccare l’hash della password.

🔐 Best Practice: gli account privilegiati non dovrebbero MAI avere SPN associati.

6. Account dimenticati con privilegi elevati

Nel tempo, è facile dimenticare account di servizio o utenti non più attivi. Se questi hanno ancora privilegi elevati, rappresentano un punto cieco perfetto per un attaccante. Non vengono monitorati, non cambiano password da anni, e possono passare inosservati anche durante audit interni.

7. Group Policy Preferences (GPP) e credenziali hardcoded

Le GPP erano famose per permettere la distribuzione di configurazioni, ma in passato sono state anche utilizzate per impostare password locali. Il problema? Queste credenziali erano salvate in chiaro (o facilmente decodificabili). Se sono ancora presenti, è un facile bersaglio per un attaccante.

8. Abuso del SID History

Il campo SID History, nato per facilitare le migrazioni, può essere abusato per mantenere privilegi anche quando un account viene rimosso o modificato. È una tecnica usata per la persistenza, difficile da rilevare e spesso trascurata nei controlli.

9. Enumeration LDAP e furto di informazioni

LDAP è uno strumento potente, ma può essere anche pericoloso. Un attaccante interno può usarlo per enumerare:

Utenti
Gruppi
Membership privilegiate
Deleghe

Queste informazioni vengono poi utilizzate per costruire percorsi di attacco o escalation laterale.

10. Malware nascosto in SYSVOL

La cartella SYSVOL, replicata su tutti i Domain Controller, può contenere script o GPO infetti. Se un malware riesce a nascondersi in SYSVOL, può diffondersi in modo capillare e automatico, compromettendo l’intera infrastruttura Active Directory.

Conclusione

Il vero rischio non sta solo nei permessi errati o nei certificati mal gestiti. Sta nella sottovalutazione. Pensare che Active Directory “funzioni e basta”, senza controllarla davvero, è come lasciare la porta di casa aperta sperando che nessuno entri.

Una rete aziendale non è mai sicura se Active Directory è vulnerabile. E la buona notizia? Puoi ancora intervenire prima che lo faccia un attaccante.

👉 Inizia dal punto giusto: scopri il corso Active Directory Attack & Defense. Imparerai a riconoscere errori critici, correggere configurazioni a rischio e rafforzare la difesa della tua infrastruttura IT.

Desideri imparare le basi di gestione e configurazione di Active Directory? Scopri la formazione Active Directory.

Chi Siamo

Siamo un'azienda informatica orientata all'innovazione e alla condivisione delle conoscenze per favorire il progresso comune.

Perchè sceglierci

Certificazioni e partner

Portfolio clienti

Lavora con noi

Tutti i corsi

Formazione

Scegli il corso

Calendario

Catalogo

Corsi Cybersecurity

Corso Cybersecurity Specialist

Corso Cybersecurity Blue Team

Corso Ethical Hacker

Corso Incident Responder

Corsi di Digital Skills

Corso Microsoft 365 per utenti

Corso Cyber Security Awareness

Corso Microsoft Teams

Corso Excel

Corsi di Programmazione

Corso C#

Corso Python

Corso ASP .NET

Corso React

Brand

Nexsys®

Microsoft

CompTIA

Corsi per Sistemisti

Corso Sistemista e Reti Informatiche

Corso Administering Office 365

Corso Windows Server Administrator

Corso Microsoft Azure Administrator

Corsi di Business Intelligence

Corso Power Platform Fundamentals

Corso Microsoft Power BI Base

Corso PL-300 Power BI Data Analyst

Corso Power BI avanzato DAX

Da dove partire

Servizi informatici

Assistenza informatica

Consulenza informatica

Cybersecurity

Consulenza Cybersecurity

Servizi Cybersecurity

Penetration Test

Assessment AD

Risk Assessment

SOC As a Service

Incident Response Plan

Ransomware Recovery

Identity Protection

Data Protection

Firewall

DNS Security

Cloud

Consulenza Cloud

Servizi Cloud

Cloud Backup

Cloud Security

Disaster Recovery

Modern Workplace

Soluzioni Modern Workplace

Migrazione Office 365

Network

Secure Access Service Edge (SASE)

Network Security

Endpoint Management

Endpoint Management e UEM

Endpoint Protection

Risorse

News, contenuti utili e approfondimenti, per aiutarti a rimanere aggiornato sulle ultime novità e tendenze nel settore IT.

Blog

Podcast

Case study

Guide gratuite

+39 0452456669

info@nexsys.it