• Thứ Tư, 16/07/2014 15:10 (GMT+7)

    Windows có công cụ mới chống tấn công pass-the-hash

    Huy Thắng
    Trong bản vá lỗi phát hành ngày 15/7 vừa qua, Microsoft đã cung cấp những cập nhật bảo mật với một số giải pháp nhằm giảm thiểu những cuộc tấn công kiểu pass-the-hash (PTH) dành cho Windows Server 2012 R2, Windows 8.1, Windows Server 2008 R2 và Windows 7.

    Đây sẽ là một thông tin tuyệt vời cho các nhà quản trị máy tính để chống lại những kẻ trộm thông tin trên nền tảng Windows. Tuy nhiên, trước tiên chúng ta hãy tìm hiểu hash là gì và phương pháp tấn công pass-the-hash được thực hiện ra sao.

    Bất cứ khi nào bạn tạo một mật khẩu cho một tài khoản nào đó trong Windows, hệ điều hành này sẽ biến đổi mật khẩu đó thành một "hash". Hash là kết quả của quá trình mã hóa được thực hiện bằng cách lấy một chuỗi dữ liệu với kích thước tùy ý, sau đó thực hiện mã hóa toán học cho chuỗi dữ liệu này, kết quả trả về là một chuỗi với kích thước cố định nào đó. Điều này trước hết sẽ giúp cho mật khẩu của bạn không lưu trên ổ cứng cục bộ dưới dạng văn bản rõ ràng, nơi mà bất cứ ai cũng có thể truy cập nó; thứ hai là mật khẩu sẽ không được truyền đi qua mạng dưới định dạng văn bản khi bạn xác thực trên thiết bị khác (chẳng hạn như domain controller).

    Khi cố gắng truy cập vào một tài nguyên nào đó trên máy tính được bảo vệ bằng biện pháp xác thực username và password, bạn sẽ gặp khó khăn về vấn đề xác thực bởi host. Về cơ bản, bạn cần cung cấp username và password cho host. Khi bạn nhập mật khẩu, máy tính sẽ thực hiện hành động hash trên mật khẩu và đệ trình nó tới host để sau đó nó sẽ được so sánh với cơ sở dữ liệu cần xác thực. Nếu kết quả tương xứng, bạn sẽ truy cập thành công.

    Hệ điều hành Windows giờ đây đã có các công cụ chống tấn công dạng pass-the-hash.
    Windows sử dụng hai phương pháp hash mật khẩu người dùng, đó là LAN Manager (LM) và NT LAN Manager (NTLM). Hash LM là một trong những thuật toán hash mật khẩu đầu tiên được sử dụng bởi các hệ điều hành Windows, chỉ có một phiên bản duy nhất được hỗ trợ cho tới khi xuất hiện NTLM version 2 sử dụng trong Windows 2000, XP, Vista và Windows 7. Các hệ điều hành mới này vẫn hỗ trợ sử dụng các hash LM để có khả năng tương thích. Mặc dù vậy, mặc định nó đã bị vô hiệu hóa trong Windows Vista và Windows 7.

    Trong bảo mật máy tính, pass-the-hash là một kỹ thuật hack cho phép kẻ tấn công xác thực đến một máy chủ/dịch vụ từ xa bằng cách cung cấp mật khẩu theo kiểu NTLM và/hoặc LM của người dùng, thay vì sử dụng mật khẩu bằng các ký tự như trong trường hợp bình thường.

    Trước khi đi sâu vào những giải pháp giảm thiểu tấn công của Windows và những kỹ thuật khác để gây khó chịu cho hacker, chúng ta hãy xem cách mà những cuộc đánh cắp thường xảy ra: Kẻ xấu chiếm được quyền truy cập admin trên một máy tính trong một hệ thống mạng. Chúng có được các mật khẩu (hoặc vé Kerberos) hoặc các hash mật khẩu cho tất cả các tài khoản trên máy tính cục bộ, bao gồm cả tài khoản Administrator cục bộ. Sau đó, kẻ xấu sẽ sử dụng các quyền Administrator cục bộ để di chuyển đến các máy tính khác nhằm chia sẻ cùng tên và mật khẩu đăng nhập, hoặc chỉ đơn giản là sử dụng các quyền của người sử dụng cục bộ, nếu họ thuộc về một nhóm đặc quyền riêng (như Domain Admins hay nhóm Enterprise Admins). Một khi những kẻ xấu có được các hash mật khẩu từ domain controller, chúng có thể sở hữu toàn bộ hệ thống mạng và lấy bất kỳ dữ liệu theo ý muốn.

    Kịch bản này được lặp đi lặp lại hàng ngàn lần mỗi ngày và đã xảy ra trong rất nhiều hệ thống mạng của doanh nghiệp. Mặc dù nhiều công ty xem xét các cuộc tấn công chiếm quyền truy cập là vấn đề hàng đầu của họ, nhưng sự thật là việc ngăn chặn những nguy cơ ban đầu và ngăn ngừa kẻ xấu có thể thu thập thông tin mới là những vấn đề cần phải được ưu tiên hàng đầu. Nhưng đó là hai mặt của cùng một vấn đề.

    Một vài năm trước đây, không có nhiều thông tin về cách để ngăn chặn các cuộc tấn công PTH và các phiên bản Windows trước đây cũng còn thiếu giải pháp giảm thiểu cụ thể. Microsoft đã khắc phục vấn đề này và vừa phát hành những tài liệu White Paper mà bất kỳ nhà quản trị hệ thống Windows hoặc máy chủ Active Directory cần phải tham khảo thêm.

    Cả hai phiên bản 1.0 của tài liệu White Paper PTH và "Best Practices for Securing Active Directory" được phát hành trước khi Microsoft tung ra các giải pháp giảm thiểu Windows PTH mới. Chúng chứa những thông tin hữu ích mà bạn sẽ không tìm thấy bất cứ nơi nào khác, bao gồm cả những khuyến cáo mà bạn chắc chắn nên làm theo. Đặc biệt, tài liệu Active Directory White Paper có chứa các "bí mật" để có thể duy trì một môi trường Active Directory ít rủi ro.

    Hầu hết các biện pháp bảo vệ đều có sẵn trong tất cả các phiên bản hệ điều hành Windows đang được hỗ trợ của Microsoft. Nếu doanh nghiệp bạn đang lo lắng về các cuộc tấn công PTH, hãy thực hiện các giải pháp giảm thiểu này.

    Doanh nghiệp cũng có thể sử dụng nhiều biện pháp khác liên quan đến chính sách truyền thống, các thủ tục và điều khiển mà không yêu cầu các tính năng mới này. Nếu được thực hiện một cách chính xác, chúng có thể cung cấp khả năng bảo vệ tốt hơn so với các giải pháp giảm thiểu PTH nói trên.

    Cuối cùng, hãy sử dụng các công cụ quản lý từ xa và các phương pháp đăng nhập máy tính từ xa mà không lưu lại các thông tin trong bộ nhớ máy tính từ xa. Các phương pháp phổ biến dành cho Windows bao gồm RDP/RestrictedAdmin, Remote Desktop Gateway, MMC consoles, Net Use, PowerShell WinRM, PSExec, Methods Utilizing Integrated Windows Authentication (IWA).