Lỗ hổng bảo mật nghiêm trọng: Mật khẩu được lưu thẳng trong trường mô tả của Active Directory

Chào mừng quay trở lại với chuyên mục PWNED, nơi chúng ta bàn về những chính sách bảo mật lỏng lẻo và cách để tránh chúng. Hy vọng rằng chúng ta có thể học hỏi từ sai lầm của người khác – hoặc ít nhất là có một tiếng cười đáng tiếc về sự vụ này.

Tuần này, chúng ta có một câu chuyện về sự thụ động trong quản lý mật khẩu liên quan đến Active Directory (AD). Câu chuyện được Rob Anderson, người đứng đầu dịch vụ tư vấn phản ứng tại công ty bảo mật Reliance Cyber (Anh), chia sẻ.

Anderson nhớ lại một trường hợp他曾 làm việc với một công ty đang tạo các tài khoản dịch vụ (service accounts) mà các nhà phát triển cần sử dụng. Tuy nhiên, tổ chức này không sở hữu một kho mật khẩu (password vault) thích hợp để lưu trữ thông tin đăng nhập liên quan. Thay vào đó, để thuận tiện cho các thành viên trong nhóm tìm kiếm những gì họ cần, họ đã đặt mật khẩu trực tiếp vào trường mô tả (description field) của Active Directory.

“Mọi người không nhận ra rằng ngay khi bạn có một người dùng Active Directory — chỉ là một người dùng bình thường — bạn có thể đọc trường chú thích hoặc trường mô tả trên toàn bộ Active Directory,” Anderson chia sẻ với The Register. “Đó thực sự là một sự lơ là bảo mật đáng kinh ngạc.”

Rất nhanh chóng, một Nhà môi giới quyền truy cập ban đầu (Initial Access Broker - IAB) — người chuyên gia trong việc xâm nhập vào các mạng được bảo vệ và sau đó bán quyền truy cập đó cho các mối đe dọa khác — đã sử dụng một chiến dịch lừa đảo (phishing) và thực thi công cụ tấn công Sliver trên thiết bị đầu cuối. Tại thời điểm đó, họ đã bắt được thông tin đăng nhập của nạn nhân, dẫn họ đến việc truy vấn Active Directory.

Khi đã ở trong AD, những kẻ tấn công đã tìm thấy rất nhiều mật khẩu, đi kèm với quyền truy cập toàn bộ domain. Chúng đã sử dụng quyền truy cập này để xóa tất cả các bản sao lưu và thực thi mã độc tống tiền (ransomware). Tổng cộng, vụ việc đã khiến hơn 2000 người dùng không thể hoạt động do mã hóa các máy ảo hóa Hyper-V và máy chủ của chúng. Công ty đã bị ngừng hoạt động trong nhiều tháng.

Những gì chúng ta có thể học được từ câu chuyện buồn này là bạn không thể đặt mật khẩu dưới dạng văn bản thuần (cleartext) ở bất kỳ đâu dễ dàng truy cập được, trừ khi bạn muốn tạo ra một bề mặt tấn công khổng lồ. Ngay cả khi không có lừa đảo, một đồng nghiệp không đáng tin cậy cũng có thể bán mật khẩu cho một tác nhân đe dọa. Sau tất cả, một cuộc khảo sát gần đây cho thấy một trong tám nhân viên nghĩ rằng việc bán thông tin đăng nhập công ty là có thể chấp nhận được.

“Tôi đã từng thấy các chi tiết cấu hình được lưu giữ trong các máy chủ ứng dụng đang chạy, và các tác nhân đe dọa đang sử dụng kỹ thuật fuzzing — thử các tên tệp và thư mục có khả năng xảy ra — điều này một lần nữa phơi bày cấu hình và thông tin đăng nhập cho các tác nhân đe dọa,” Anderson nói.

Ông lưu ý rằng các nhà phát triển ngày nay đã thông thái hơn một chút về nơi họ đặt thông tin đăng nhập, nhưng sự ngây thơ trong bảo mật có thể làm chìm tàu. Đừng tin ai cả.