Rilevamento e risposta alle minacce di rete basati sull'intelligenza artificiale: approfondimenti da un leader del Magic Quadrant™ 2026 di Gartner®
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per la gestione delle minacce alla rete (NDR) del 2026
Leggi il rapporto
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Tecnica di attacco

Query LDAP

LDAP è un protocollo ampiamente utilizzato per la gestione di utenti, dispositivi e servizi in ambito aziendale. Rappresenta una componente fondamentale della gestione delle identità e degli accessi, ma può anche costituire un canale attraverso il quale gli hacker possono effettuare ricognizioni, elevare i propri privilegi ed esfiltrare dati.

Definizione
Come funziona
Perché gli hacker lo utilizzano
Rilevamento
Domande frequenti
Definizione

Che cos'è una query LDAP?

Una query LDAP (Lightweight Directory Access Protocol) è un comando che richiede informazioni a un servizio di directory. Consente alle applicazioni di accedere rapidamente e gestire i dati su servizi come Active Directory ed è comunemente utilizzata dalle organizzazioni per gestire account utente, dispositivi e il controllo degli accessi. È anche una tecnica utilizzata dagli hacker per sottrarre credenziali utente e altri dati sensibili.

Come funziona

Come funzionano gli attacchi di tipo LDAP injection

Un attacco LDAP si verifica quando un malintenzionato inserisce codice dannoso in una query LDAP. Analogamente alle iniezioni SQL, questo tipo di attacco sfrutta la mancanza di un'adeguata convalida degli input e consente al malintenzionato di manipolare la query aggiungendo caratteri speciali per alterarne la logica. Di conseguenza, il malintenzionato può:

  • Bypass dell'autenticazione: gli hacker possono manipolare le query per effettuare l'accesso senza conoscere i nomi utente e le password effettivi.
  • Escalazione dei privilegi: gli aggressori utilizzano query LDAP per identificare account di servizio e utenti con privilegi elevati e per sfruttare vulnerabilità o configurazioni errate al fine di ottenere privilegi più elevati.
  • Estrazione di dati: gli hacker utilizzano query LDAP eccessive o insolite per estrarre nomi utente, password e altri dati riservati dalla directory.
  • Enumerare la directory: gli hacker utilizzano spesso query LDAP per enumerare le appartenenze a utenti e gruppi e per mappare l'ambiente AD.
  • Crediti di raccolta: le query LDAP dannose possono essere utilizzate per raccogliere informazioni sulle politiche relative alle password, sulla scadenza delle password e sulle politiche di blocco degli account, consentendo agli aggressori di prepararsi per attacchi mirati alle password.

Le informazioni raccolte durante le query LDAP spesso aiutano gli aggressori a pianificare e mettere in atto tattiche più sofisticate. In casi estremi, un aggressore cerca di ottenere il pieno controllo dei servizi di directory, ottenendo così un accesso generalizzato alle risorse di rete e ai sistemi.

Processo di iniezione di query LDAP
Perché gli hacker lo utilizzano

Perché gli hacker prendono di mira le directory LDAP

Gli hacker prendono di mira le directory LDAP perché spesso contengono informazioni sensibili relative agli account utente e alla struttura di rete. Le query LDAP vengono utilizzate nelle prime fasi di un attacco per raccogliere informazioni su utenti, gruppi, computer e altri oggetti presenti all'interno di un servizio di directory.

Rilevamenti della piattaforma

Come prevenire e individuare le minacce legate alle query LDAP

La misura più importante che i team di sicurezza possono adottare per bloccare le query di ricerca LDAP dannose è il rilevamento delle minacce e la risposta ad esse. Tuttavia, esistono diverse misure preventive che possono aiutare a mitigare il rischio rappresentato dalle minacce basate su LDAP. Tra queste figurano:

  • Controlli di accesso basati sui ruoli (RBAC): limitare gli account autorizzati a eseguire query LDAP e restringere l'accesso agli attributi sensibili. Solo gli account con privilegi dovrebbero avere accesso a informazioni critiche quali l'appartenenza a gruppi e gli attributi relativi alle password.
  • Segmentazione della rete: isolare i servizi di directory sensibili dal traffico di rete generale per rendere più difficile agli aggressori muoversi lateralmente e interrogare il server LDAP.
  • Crittografia: assicurarsi che il traffico LDAP sia crittografato tramite LDAP su SSL (LDAPS) per impedire l'intercettazione o la manomissione durante la trasmissione.
  • Autenticazione avanzata e monitoraggio: implementare l'autenticazione a più fattori (MFA) per gli account con privilegi e monitorare attentamente l'attività. Ciò rende più difficile per gli hacker utilizzare credenziali rubate per eseguire query LDAP.
  • Controlli periodici: verificare regolarmente le autorizzazioni LDAP e i modelli di query per assicurarsi che non vi siano configurazioni errate o segni di abuso.

Una volta che un malintenzionato ottiene l'accesso alla rete, si hanno solo pochi minuti per individuare le minacce e reagire prima che si trasformino in una vera e propria violazione. La chiave sta nell'analizzare il traffico LDAP in tempo reale, consentendo agli analisti della sicurezza di identificare e affrontare rapidamente le minacce rivolte ad Active Directory. 

Un modo per farlo consiste nel monitorare e registrare il traffico LDAP. È opportuno raccogliere e analizzare regolarmente i log LDAP alla ricerca di modelli anomali. Alcune organizzazioni si affidano ai sistemi SIEM per segnalare le query sospette in base a regole predefinite.

Tuttavia, un metodo più efficace consiste nell'utilizzare l'analisi comportamentale basata sull'intelligenza artificiale per individuare le query LDAP sospette. La Vectra AI lo fa creando un modello di riferimento dell'attività LDAP normale, che può poi utilizzare per segnalare le anomalie che indicano potenziali attività dannose.

Nessun risultato trovato.
Esplora tutti i rilevamenti

Proteggi la tua rete con sistemi di rilevamento avanzati

Il rilevamento delle query LDAP sospette è una delle decine di funzionalità di rilevamento avanzate basate sull'intelligenza artificiale disponibili nella Vectra AI , che copre il 90% delle MITRE ATT&CK rilevanti MITRE ATT&CK . Insieme, queste funzionalità consentono ai team di sicurezza di prevenire gli attacchi, sia noti che sconosciuti, nelle prime fasi del loro sviluppo.

Esplora la piattaforma
Per saperne di più

Domande frequenti