Lỗ hổng Active Directory Sites: Nguy hiểm leo thang đặc quyền nghiêm trọng

Một vector tấn công mới vừa được các chuyên gia an ninh mạng phát hiện, nhắm vào Active-Directory-Sites, một bộ phận thường không được chú trọng trong cơ sở hạ tầng mạng của các tổ chức.

Khám phá này đã chỉ ra một yếu điểm nghiêm trọng trong Active Directory, vốn chưa được cộng đồng an ninh chú ý tới trước đây.

Theo một phân tích kỹ thuật của chuyên gia Quentin Roland, các đối tượng tấn công có thể lợi dụng những chuỗi tấn công dựa trên Danh sách Kiểm soát Truy cập (ACL) trong Active-Directory-Sites. Việc này không chỉ giúp chúng leo thang đặc quyền mà còn có nguy cơ kiểm soát toàn bộ miền (domain).

Vai trò và rủi ro bảo mật của Active Directory Sites

Active Directory Sites là một tính năng được tạo ra để cải thiện hiệu suất mạng và tối ưu hóa việc sử-dụng-băng-thông-trong-các-doanh-nghiệp-có-nhiều-chi-nhánh-địa-lý. Các “site” này có chức năng nhóm những mạng con có tốc độ kết nối cao lại với nhau và phân công các máy điều khiển miền (domain-controllers) để quản lý lưu lượng xác thực cũng như sao chép dữ liệu một cách hiệu quả.

Tuy nhiên, chính những tính năng vận hành này lại vô tình tạo ra một bề mặt tấn công tiềm ẩn mà nhiều đội ngũ an ninh đã xem nhẹ.

Lỗ hổng trong Active Directory phát sinh từ chính cách thức cấu hình và quản lý các site này.

Cấu hình ACL và những nguy cơ tiềm ẩn

Điểm yếu cốt lõi trong Active Directory nằm ở chỗ các site có thể được gán với các ACL. Nếu cấu hình sai, những ACL này sẽ mở đường cho kẻ tấn công thực hiện di chuyển ngang giữa các miền.

Các nhà nghiên cứu đã chỉ ra rằng một site có thể bao gồm cả máy khách và máy điều khiển miền từ nhiều miền khác nhau trong cùng một “forest” (một tập hợp các miền).

Mối liên kết chéo giữa các miền này chính là cơ sở cho những kịch bản tấn công leo thang đặc quyền phức tạp.

Việc lơ là các biện pháp bảo mật cơ bản là nguyên nhân chính dẫn đến rủi ro an ninh nghiêm trọng này.

Phương thức khai thác lỗ hổng trong Active Directory Sites

Kẻ tấn công có thể khai thác các ACL được định cấu hình trên các site để giành được quyền hạn cao hơn trong môi trường Active Directory.

Bằng cách thay đổi cấu hình site và sử dụng các kỹ thuật liên quan đến Đối tượng Chính sách Nhóm (GPO), tin tặc có thể di chuyển giữa các miền mà không bị các hệ thống giám sát an ninh truyền thống phát hiện.

Cuộc tấn công này đặc biệt nguy hiểm vì phần lớn các tổ chức chỉ xem các site như một thành phần của hạ tầng công nghệ thông tin thay vì một yếu tố an ninh trọng yếu.

Đây là một thiếu sót lớn trong chiến lược bảo mật của nhiều doanh nghiệp.

Vượt qua cơ chế lọc SID và chiếm quyền kiểm soát

Phương pháp tấn công này dựa trên những kỹ thuật đã được ghi nhận nhưng ít được biết đến. Các kỹ thuật này cho phép kẻ tấn công vượt qua cơ chế lọc-SID (SID filtering) khi di chuyển ngang trong nội bộ forest.

Điều này có nghĩa là ngay cả những tổ chức đã triển khai các biện pháp kiểm soát phân đoạn nghiêm ngặt vẫn có thể bị tấn công.

Một khi đã xâm nhập thành công vào một site, kẻ tấn-công-có-thể-truy-cập-tài-nguyên-trên-toàn-bộ-forest.

Sự thiếu nhận thức về lỗ hổng này trong Active Directory tạo ra một mối đe dọa lớn cho an ninh mạng.

Phát hiện và giảm thiểu rủi ro

Để hỗ trợ các tổ chức xác định những lỗ hổng này, các nhà nghiên cứu đã đóng góp cải tiến cho BloodHound, một công cụ phổ biến giúp trực quan hóa các đường tấn công trong Active Directory.

Những cải tiến này cho phép các đội ngũ IT liệt kê và nhận diện các chuỗi tấn công thông qua ACL của site trước khi chúng bị khai thác. Thông tin chi tiết về nghiên cứu này có thể được tìm thấy trên trang của Synacktiv.[1]

Các tổ chức đang sử dụng BloodHound giờ đây có thể lập bản đồ cấu hình site của mình và xác định các quyền hạn được gán có nguy cơ cao.

Việc cập nhật lên phiên bản BloodHound mới nhất là một bước đi quan trọng để tăng cường khả năng phát hiện xâm nhập và phòng chống các cuộc tấn công mạng.

Để biết thêm thông tin về BloodHound và các bản cập nhật, người dùng có thể truy cập trang GitHub chính thức của dự án.

Các biện pháp khắc phục và củng cố an ninh cho Active Directory Sites

Các đội ngũ an ninh doanh nghiệp cần khẩn trương rà soát lại cấu hình Active Directory Sites và các quyền hạn liên quan.

Những tổ chức có môi trường mạng phân tán về mặt địa lý nên đặt ưu tiên hàng đầu cho việc kiểm tra cài đặt ACL trên tất cả các đối tượng liên quan đến site.

Các khuyến nghị chính để giảm thiểu mối đe dọa này bao gồm:

• Kiểm toán định kỳ: Tiến hành kiểm tra toàn diện cấu hình site và ACL để phát hiện sớm các sai sót.

• Đánh giá quyền truy cập: Đảm bảo chỉ những tài khoản và nhóm được ủy quyền mới có quyền quản lý cấu hình site.

• Cập nhật công cụ: Triển khai phiên bản mới nhất của BloodHound để tận dụng các tính năng phát hiện mới.

• Mô hình hóa mối đe dọa: Bổ sung các vector tấn công dựa trên site vào quy trình mô hình hóa mối đe dọa của tổ chức.

• Nâng cao nhận thức: Đào tạo đội ngũ IT và an ninh về vai trò quan trọng của các site trong bức tranh bảo mật tổng thể.

Phát hiện này là một lời nhắc nhở rằng các lỗ hổng của Active Directory không chỉ giới hạn ở các máy điều khiển miền hay tài khoản người dùng.

Các thành phần hạ tầng vật lý, như các site, cũng có thể bị lợi dụng để xâm phạm toàn bộ hệ thống.

Các tổ chức quản lý những forest Active Directory lớn nên xem việc bảo vệ Active Directory Sites là một ưu tiên hàng đầu và tích hợp các kịch bản tấn công này vào mô hình phòng thủ của mình.