-
09/04/2020
-
118
-
1.246 bài viết
Lỗ hổng Active Directory Sites cho phép leo thang quyền và chiếm quyền kiểm soát miền
Các nhà nghiên cứu của Synacktiv vừa cảnh báo về một nguy cơ trong Active Directory, cho thấy những công cụ quản lý mạng vốn được coi là an toàn có thể bị lợi dụng để leo thang quyền và xâm nhập toàn bộ miền. Active Directory sites được thiết kế để giúp mạng hoạt động hiệu quả trên nhiều địa điểm, quản lý việc sao chép dữ liệu và xác thực người dùng, nhưng cơ chế này có thể trở thành điểm yếu nếu bị khai thác.
Nguy cơ bắt nguồn từ việc các Active Directory sites có thể được liên kết với Group Policy Objects, vốn kiểm soát cấu hình hệ thống trên toàn tổ chức. Khi kẻ tấn công có quyền ghi trên các site hoặc GPO liên quan, chúng có thể tiêm các cấu hình độc hại ảnh hưởng đến tất cả các máy tính kết nối với site đó, bao gồm cả các domain controller. Cách này tạo ra một con đường trực tiếp để xâm nhập toàn bộ miền mà không kích hoạt các cơ chế phòng thủ thông thường.
Luồng tấn công khi khai thác liên kết GPO
Các quyền quan trọng mà kẻ tấn công khai thác bao gồm GenericAll, GenericWrite và WriteGPLink trên các đối tượng site. Thậm chí quản trị viên cũng thường ủy quyền các quyền này mà chưa hiểu hết hệ quả. Khi kiểm soát được những quyền này, kẻ tấn công có thể thao túng GPO hiện có hoặc tạo GPO mới chứa các lệnh thực thi tùy ý trên hệ thống được kết nối. Những lệnh này có thể thêm tài khoản do kẻ tấn công kiểm soát vào nhóm quản trị, nhanh chóng giành quyền domain admin trong vài phút.
Quản lý quyền liên kết Group Policy qua giao diện AD
Điểm nguy hiểm nhất là cơ chế Active Directory sites cho phép di chuyển ngang qua toàn bộ forest. Phân vùng cấu hình chứa thông tin về các site được sao chép trên toàn forest, nghĩa là một domain controller bị xâm nhập có thể thay đổi cấu hình site, ảnh hưởng đến các miền khác. Kỹ thuật này vượt qua các cơ chế lọc SID truyền thống vốn thường ngăn chặn các tấn công xuyên miền.
Nhóm Synacktiv đã chứng minh rằng một kẻ tấn công ở miền con, tức là một phần nhỏ trong cấu trúc forest, có thể chiếm quyền kiểm soát miền gốc bằng cách liên kết các GPO độc hại với các site chứa domain controller của miền gốc. Điều này cho thấy một lỗ hổng đáng kể trong chiến lược bảo mật của nhiều tổ chức, đặc biệt với các môi trường Active Directory lớn, nơi quản trị viên thường ủy quyền quyền GPO mà không giám sát chặt chẽ.
Các chuyên gia khuyến cáo các đội ngũ phòng thủ cần kiểm tra và hạn chế quyền truy cập vào site và GPO, đồng thời theo dõi chặt chẽ các liên kết GPO để phát hiện những thay đổi bất thường. Việc đào tạo quản trị viên về các rủi ro liên quan đến ủy quyền quyền đặc quyền cũng là yếu tố quan trọng để ngăn ngừa việc lạm dụng các quyền này.
Nguy cơ từ Active Directory sites là một cảnh báo rõ ràng về những điểm mù trong bảo mật mà nhiều tổ chức chưa nhận thức đầy đủ. Các tổ chức cần chủ động đánh giá lại quyền truy cập, cơ chế sao chép dữ liệu và kiểm soát GPO để giảm thiểu nguy cơ kẻ tấn công khai thác và lan rộng quyền truy cập trên toàn bộ forest.
Nguy cơ bắt nguồn từ việc các Active Directory sites có thể được liên kết với Group Policy Objects, vốn kiểm soát cấu hình hệ thống trên toàn tổ chức. Khi kẻ tấn công có quyền ghi trên các site hoặc GPO liên quan, chúng có thể tiêm các cấu hình độc hại ảnh hưởng đến tất cả các máy tính kết nối với site đó, bao gồm cả các domain controller. Cách này tạo ra một con đường trực tiếp để xâm nhập toàn bộ miền mà không kích hoạt các cơ chế phòng thủ thông thường.
Luồng tấn công khi khai thác liên kết GPO
Quản lý quyền liên kết Group Policy qua giao diện AD
Điểm nguy hiểm nhất là cơ chế Active Directory sites cho phép di chuyển ngang qua toàn bộ forest. Phân vùng cấu hình chứa thông tin về các site được sao chép trên toàn forest, nghĩa là một domain controller bị xâm nhập có thể thay đổi cấu hình site, ảnh hưởng đến các miền khác. Kỹ thuật này vượt qua các cơ chế lọc SID truyền thống vốn thường ngăn chặn các tấn công xuyên miền.
Nhóm Synacktiv đã chứng minh rằng một kẻ tấn công ở miền con, tức là một phần nhỏ trong cấu trúc forest, có thể chiếm quyền kiểm soát miền gốc bằng cách liên kết các GPO độc hại với các site chứa domain controller của miền gốc. Điều này cho thấy một lỗ hổng đáng kể trong chiến lược bảo mật của nhiều tổ chức, đặc biệt với các môi trường Active Directory lớn, nơi quản trị viên thường ủy quyền quyền GPO mà không giám sát chặt chẽ.
Các chuyên gia khuyến cáo các đội ngũ phòng thủ cần kiểm tra và hạn chế quyền truy cập vào site và GPO, đồng thời theo dõi chặt chẽ các liên kết GPO để phát hiện những thay đổi bất thường. Việc đào tạo quản trị viên về các rủi ro liên quan đến ủy quyền quyền đặc quyền cũng là yếu tố quan trọng để ngăn ngừa việc lạm dụng các quyền này.
Nguy cơ từ Active Directory sites là một cảnh báo rõ ràng về những điểm mù trong bảo mật mà nhiều tổ chức chưa nhận thức đầy đủ. Các tổ chức cần chủ động đánh giá lại quyền truy cập, cơ chế sao chép dữ liệu và kiểm soát GPO để giảm thiểu nguy cơ kẻ tấn công khai thác và lan rộng quyền truy cập trên toàn bộ forest.
Theo Cyber Security News
Chỉnh sửa lần cuối: