Rilasciata la versione 1.7 di Microsoft Advanced Threat Analytics (ATA)
È stata rilasciata la nuova versione 1.7 di Microsoft ATA, di cui ho parlato nei precedenti articoli analizzando l’architettura del sistema ed i suoi prerequisiti.
Chi avesse avuto l’interesse per questo utile prodotto di analisi delle potenziali minacce di sicurezza della propria infrastruttura Active Directory ( e non solo ), troverà interessanti le implementazioni nella nuova versione.
La prima novità che risulta dalle note di rilascio è relativa al supporto per le nuove piattaforme 2016 e Windows Server installato in modalità Core, il Lightweight Gateway Agent era, finora utilizzabile solo sulle edizioni “grafiche” fino alla versione 2012 R2.
La nuova versione 1.7 supporta ora anche l’installazione della componente ATA Center sulla piattaforma Windows Server 2016.
Questa versione vede miglioramenti nelle tre aree tipiche di ATA:
- sono state migliorate le metodologie di rilevazione degli attacchi
- è stata modificata l’infrastruttura implementando 3 ruoli ATA Administrator, ATA Analyst e ATA Executive
- è stata rivista la user-experience migliorando il supporto per differenti ATA Gateway in particolare per la gestione dei loro aggiornamenti.
Per quanto riguarda gli attacchi volti al riconoscimento dell’infrastruttura, meglio noti con il termine di reconnaissance, relativamente ad Active Directory, è stata migliorata la rilevazione di attacchi con l’obiettivo di ottenere informazioni sfruttando il protocollo SAMR (Security Account Manager Remote).
Sono inoltre state implementate nuove metodologie di rilevazione degli attacchi di tipo Pass-the-Hash e Pass-the-Ticket
Per chi volesse approfondire è disponibile l’ interessante whitepaper Mitigating pass the ticket on Active Directory, scritto dal CERT Computer Emergency Response Team, che ne descrive le tecniche di mitigazione.
Collegate alle tecniche di attacco citate sopra, sono state migliorate le rilevazioni relativamente ai protocolli che possono usare Kerberos per l’autenticazione e che sono sfruttati per ottenere ticket di accesso.
È anche stata dichiarato un problema relativamente alla procedura di aggiornamento automatico della componente Gateway che può raggiungere un time-out di 100 secondi nell’update e conseguentemente fallire.
Nel caso ci si imbatta in questo inconveniente, è consigliato effettuare il download del package di installazione del Gateway e la sua reinstallazione manuale, escludendo quindi l’update automatico.