Lỗi nghiêm trọng trong thiết kế của Active Directory có thể cho phép thay đổi mật khẩu

Lỗi nghiêm trọng trong thiết kế của Active Directory có thể cho phép thay đổi mật khẩu

19-07-2014
Tin tức công nghệ
2409

Microsoft khẳng định vấn đề chung này đã được biết đến từ lâu, nhưng Aorato có trụ sở tại Israel đã thực hiện một cuộc tấn công thành công.

Phần mềm quản lý truy cập mạng được sử dụng rộng rãi của Mircosoft có một lỗi nghiêm trọng trong thiết kế, một công ty an ninh của Israel cho biết, nhưng Microsoft khẳng định vấn đề này đã được biết đến từ lâu và cơ chế phòng thủ  đã được thực hiện.
Aorato đã sử dụng thông tin công cộng để thực hiện một cuộc tấn công để kiểm chứng tin tặc có thể thay đổi mật khẩu mạng của người dùng như thế nào, có khả năng truy cập vào những hệ thống nhạy cảm khác, Tal Be'ery - phó chủ tịch nghiên cứu của công ty cho biết.
"Các hậu quả nghiêm trọng mà chúng tôi đang thảo luận - tin tặc có thể thay đổi mật khẩu - chắc chắn không được biết đến," Be'ery cho biết trong một cuộc phỏng vấn qua điện thoại vào hôm thứ Ba.
Khoảng 95% các công ty Fortune 500 sử dụng dịch vụ Active Directory, làm cho vấn đề "đặc biệt nhạy cảm", Aorato chia sẻ trên blog.
Công ty tập trung nghiên cứu vào NTLM, một giao thức chứng thực mà Microsoft đã cố gắng loại bỏ trong nhiều năm. Tất cả các phiên bản cũ hơn Windows XP SP3 đều sử dụng NTLM mặc định, và các phiên bản Windows mới hơn vẫn tương thích với NTLM với giao thức Kerberos.
NTLM dễ dàng bị khai thác bởi cuộc tấn công "pass-the-hash", trong đó tin tặc lấy cắp được thông tin đăng nhập của một máy tính và có thể sử dụng biểu diễn toán học của những thông tin đăng nhập đó - được gọi là mã băm (hash) - để truy cập vào các dịch vụ hoặc các máy tính khác.
Đó là một trong những dạng tấn công phổ biến nhất, từ một máy tính mà dữ liệu nó lưu trữ không có giá trị ta có thể truy cập vào một hệ thống nhạy cảm hơn. Công ty bán lẻ Target có trụ sở tại Mỹ đã trở thành nạn nhân của dạng tấn công này sau khi tin tặc đã đạt được quyền truy cập vào hệ thống mạng của công ty thông qua một nhà cung cấp.
Tấn công "pass-the-hash" là một điểm yếu được biết đến từ lâu của hệ thống Single Sign-On (SSO), do mã băm phải được lưu trữ ở đâu đó trên một hệ thống trong một khoảng thời gian. Những hệ điều hành khác hỗ trợ SSO đều bị ảnh hưởng.
Vô hiệu hóa SSO sẽ giải quyết được vấn đề, nhưng nó cũng có nghĩa là người dùng sẽ phải liên tục nhập mật khẩu để truy cập vào các hệ thống khác nhau, rất bất tiện.
"Đó là một sự đánh đổi," Be'ery nói.
Aorato cho rằng tin tặc có thể lấy cắp một mã băm NTLM bằng các công cụ đánh giá an ninh công cộng như WCE hay Mimikatz. Đó là công cụ đã được kiểm chứng cho thấy cách mà tin tặc có thể thay đổi mật khẩu người dùng tùy ý và truy cập các dịch vụ khác như RDP (Remote Desktop Protocol) hoặc ứng dụng Outlook trên web.
Mặc dù một số doanh nghiệp cố gắng hạn chế sử dụng giao thức NTLM và ủng hộ Kerberos, tin tặc có thể ép buộc một client xác thực với Active Directory bằng giao thức mã hóa yếu, RC4-HMAC được sử dụng băm NTLM. Sau đó mã băm NTLM được cơ chế Kerberos chấp nhận, và nó sẽ cấp một vé chứng thực thực hợp lệ.
Microsoft triển khai Kerberos để khắc phục một số vấn đề an ninh của NTLM, nhưng Kerberos hoạt động với RC4-HMAC để có thể tương thích với hệ thống cũ.
Microsoft không ngay lập tức đưa ra bình luận, nhưng công ty thừa nhận những yếu kém của NTLM trong một báo cáo kỹ thuật năm 2012.
Trong tháng 5, Microsoft đã phát hành một bản vá bao gồm các cải tiến để gây khó khăn hơn trong việc lấy cắp mã băm NTLM. Công ty cũng đã đề nghị các tổ chức sử dụng thẻ thông minh hoặc vô hiệu hóa hỗ trợ Kerberos RC4-HMAC trên tất cả các Domain Controller, nhưng có thể sẽ phá vỡ một số chức năng.
Be'ery nói rằng những khắc phục chống chế trong Active Directory có thể khiến nó hạ xuống NTLM, mà gây khó khăn khi tắt cơ chế đó đi.
"Nó không thực sự là một giải pháp thiết thực," ông nói.
Ví dụ, nếu người dùng cố gắng truy cập vào một tài nguyên mạng sử dụng địa chỉ IP thay vì tên của nó, Active Directory sẽ sử dụng NTLM ngay cả trên phiên bản mới nhất của Windows, Be'ery nói.
Aorato cho rằng việc này có thể được thực hiện xung quanh các sự kiện được ghi nhật ký mà cho biết hành vi nguy hiểm, chẳng hạn như quy định cụ thể các thuật toán mã hóa được sử dụng để thay đổi mật khẩu.
"Mặc dù Windows đã tạo ra một hệ thống ghi nhật ký sự kiện Kerberos tương đối chi tiết, nó vẫn không thể hiển thị chính xác thông tin tấn công", Aorato cho biết. "Kết quả là nhật ký ghi nhận không đầy đủ dấu hiệu của một cái gì đó bất hợp lệ đang xảy ra."

   
Hỗ trợ 24x7x365
0225-3-247-365 : Tel
0936-247-365 : Hotline

Giới thiệu về chúng tôi

  • Hoster Việt Nam
  • Văn Phòng: 23 Minh Khai, phường Minh Khai, quận Hồng Bàng, thành phố Hải Phòng
  • Trụ Sở: 162 Hai Bà Trưng, phường An Biên, quận Lê Chân, thành phố Hải Phòng
  • Điện Thoại: 0225.3.247.365 / 0936.247.365
  • Email: contact@hoster.vn