• Thứ Tư, 27/08/2014 05:35 (GMT+7)

    Cẩn trọng với golden ticket

    Bùi Lê Duy
    Bạn hãy cẩn thận với kiểu tấn công tấm vé bằng vàng “golden ticket”. Nếu tin tặc có thể tạo ticket thì chúng cũng có thể làm bất kỳ thứ gì chúng thích.

    Thế giới bảo mật Windows đang nóng lên bởi đề tài về “golden ticket” Kerberos khi kiểu tấn công này được đề cập rất nhiều trong hội nghị Black Hat USA 2014 vừa qua, cho chúng ta cái nhìn tổng quan nhất về nó cho đến nay. 

    Nói chung, nếu bạn có quyền truy cập admin tên miền/admin mạng nội bộ trên forest/domain Active Directory thì bạn có thể tạo ra được ticket Kerberos (Kerberos là giao thức xác thực truy cập mạng, dựa trên ticket) để có thể truy cập trái phép. Tấn công golden ticket là loại tấn công ticket Kerberos, có thể hiệu quả trong cả 10 năm hoặc thậm chí còn lâu hơn thế. 

    Bạn có thể là bất kỳ ai (cho rằng bạn có chuỗi hash của họ), thêm bất kỳ tài khoản nào trong bất kỳ nhóm nào (có cả nhóm đặc quyền cao) nên bạn có thể làm bất kỳ thứ gì có trong các khả năng xác thực Kerberos. Thậm chí, bạn có thể tạo các vé Kerberos có thể sử dụng được cho tài khoản người dùng/máy tính/dịch vụ mà thậm chí chúng không tồn tại trên Active Directory.

    Một golden ticket không chỉ là ticket Kerberos “vạn năng” mà nó còn là trung tâm phân phối ticket Kerberos chính. 

    Những ticket nguy hại
    Tác giả của công cụ tấn công Mimikatz, anh Benjamin Delpy, là người phát hiện ra nhiều khả năng mà Kerberos hoạt động trên máy khách Windows. Hầu hết chi tiết mà anh công bố cách nay khá lâu (nếu bạn từng quan tâm đến bảo mật Kerboros thì có lẽ sẽ biết), nhưng các chi tiết này không được công bố rộng rãi. Hơn nữa, anh cũng cho mọi người thấy một số yếu tố mới với công cụ mới (Mimikatz). 

    Có thể Delpy không phải là tin tặc mũ đen cho dù anh đưa ra công cụ có thể khiến cho giới quản trị hệ thống Active Directory phải nhức đầu. Mimikatz từng được nhiều tay tin tặc mũ đen sử dụng trên toàn cầu, và tính năng mới, golden ticket, sẽ đảm bảo được công cụ này còn được tận dụng một cách triệt để hơn trước. Nhiều câu hỏi đặt ra là làm thế nào để nhận diện và xử lý đối với golden ticket.

    Vấn đề không phải nằm ở Delpy, Mimikatz, tấn công golden ticket hay thậm chí Kerberos. Thực chất nếu một kẻ xấu nào đó xâm nhập và chiếm được toàn quyền trên hệ thống mạng như tài khoản local admin/domain admin thì kẻ đó có thể làm được mọi thứ. Không chỉ có kiểu tấn công golden ticket này mà cả các kỹ thuật tấn công khác như PtH (pass-the-hash). Trước đây, các nhà quản trị cho rằng PtH là vấn đề số 1 thì nay golden ticket lại thế chỗ.

    Nếu kẻ ác ý có được toàn quyền domain của bạn, chúng có thể chỉnh lại hệ điều hành, chỉnh lại bộ điều khiển tên miền và Active Directory, không cần phải chạy Mimikatz để tạo ra ticket Kerberos nữa. Với kiểu quyền điều khiển “god” như vậy thì tin tặc không cần ticket Kerberos. 

    Vấn đề ở đây là tin tặc khai thác golden ticket như thế nào. Microsoft có thể sẽ cập nhật để chống mọi tấn công kiểu này nhưng họ không thể ngăn chặn kẻ tấn công cùng một lúc hết được, vì không phải nhà quản trị nào cũng cập nhật hệ thống ngay được. Và doanh nghiệp cũng cần quan tâm nhiều hơn về việc tại sao Microsoft lại để kẻ xấu dễ dàng chiếm được quyền admin như vậy. 

    Những doanh nghiệp được đánh giá là có hệ thống mạng an toàn nhất trên thế giới không bao giờ thiết lập một tài khoản nào có tất cả các quyền, nhưng phân thành từng nhóm (admin domain, admin doanh nghiệp, admin schema,…) Họ cũng nhận được cảnh báo khi có bất kỳ ai cố tạo tài khoản trong những nhóm này. Trong khi vận hành, mọi thứ đều được phân bổ, sử dụng theo task và có tính năng xác thực chặt chẽ, với thời gian sử dụng giới hạn cho các tài khoản. 

    Chắc chắn trong hệ thống cũng sẽ gặp những hành vi nguy hại mà không thuộc đặc quyền admin, nhưng rào chắn luôn phải cao hơn nhiều để ngăn chặn kẻ xấu.

    Các doanh nghiệp thường than phiền về những điều mà kẻ xấu làm một khi chúng chiếm được toàn quyền hệ thống. Lúc ấy, doanh nghiệp không thể “phòng” nữa mà phải “chữa”, và cách tốt nhất là ngăn không cho kẻ xấu có được quyền admin. Đó mới là vấn đề chính.

    Nguồn: Theo Infoworld