Active Directory của Microsoft là được cho là được sử dụng bởi 95% của Fortune 500. Do đó, nó là mục tiêu hàng đầu của những kẻ tấn công khi chúng tìm cách truy cập vào thông tin đăng nhập trong tổ chức, vì thông tin đăng nhập bị xâm phạm cung cấp một trong những cách dễ nhất để tin tặc truy cập vào dữ liệu của bạn.
Một công nghệ xác thực quan trọng làm nền tảng cho Microsoft Active Directory là Kerberos. Thật không may, tin tặc sử dụng nhiều cuộc tấn công khác nhau chống lại việc thực thi giao thức xác thực Kerberos của Active Directory. Một trong số đó là AS-REP Roasting. Vậy AS-REP Roasting là gì, và các doanh nghiệp có thể tự bảo vệ mình như thế nào?
Active Directory Kerberos là gì?
Kerberos ban đầu được phát triển bởi Viện Công nghệ Massachusetts (MIT) và tập trung vào việc sử dụng vé để thiết lập lòng tin. Việc triển khai Kerberos của Microsoft trong Active Directory dựa trên Dịch vụ Xác thực Mạng Kerberos (V5) như được định nghĩa trong RFC 4120. Tuy nhiên, Microsoft đã bổ sung và nâng cao Kerberos với các đặc tả giao thức và một số tiện ích mở rộng.
Có ba thành phần khác nhau được tìm thấy trong xác thực Kerberos như được tìm thấy trong Microsoft Active Directory. Bao gồm các:
- Khách hàng – Khách hàng là tổ chức đang tìm cách lấy vé từ KDC
- Máy chủ ứng dụng – Tài nguyên cần các vé đã phát hành được xuất trình để xác thực
- Trung tâm phân phối chính (KDC) – KDC là bên thứ ba đáng tin cậy phát hành phiếu xác thực. Trong Microsoft Active Directory, KDC là mỗi bộ điều khiển miền phục vụ miền Active Directory.
 |
| Tổng quan về trao đổi vé giao thức xác thực Kerberos |
Cần thiết để hiểu các rủi ro liên quan đến hành vi trộm cắp thông tin đăng nhập Active Directory, Kerberos là giao thức mặc định được sử dụng khi đăng nhập vào một phần máy Windows của miền Active Directory. Nó đã là giao thức xác thực mặc định, thay thế NTLM kể từ Windows 2000 trở lên. Đâu là sự khác biệt giữa cả hai?
Hai giao thức quản lý xác thực khác nhau. Giao thức xác thực NTLM dựa trên sự bắt tay ba chiều. Thông tin xác thực được trao đổi giữa máy khách và máy chủ để xác thực người dùng. Ngược lại, Kerberos sử dụng quy trình hai chiều dựa trên dịch vụ cấp vé sử dụng trung tâm phân phối chính (KDC).
NTLM sử dụng băm mật khẩu, trong khi Kerberos sử dụng mã hóa. Mặc dù Kerberos là phương thức xác thực mặc định, nhưng NTLM vẫn được sử dụng như một giao thức xác thực dự phòng. Nếu việc xác thực không thể xảy ra bằng cách sử dụng Kerberos, hệ thống sẽ sử dụng NTLM để thay thế.
Rang AS-REP là gì?
Mặc dù Kerberos là một giao thức xác thực an toàn hơn nhiều so với NTLM, nó không phải là không có tập hợp các lỗ hổng riêng của nó, một số lỗ hổng có thể xuất phát từ cài đặt tài khoản người dùng cụ thể được định cấu hình cho tài khoản trong Active Directory.
Một trong những bước đầu tiên trong xác thực Kerberos là xác thực trước. Xác thực trước sử dụng mật khẩu của người dùng để mã hóa dấu thời gian. Bộ điều khiển miền (DC) sẽ giải mã điều này để xác thực mật khẩu chính xác và không yêu cầu trước đó được phát lại. Một lỗ hổng có thể xuất hiện khi xác thực trước bị vô hiệu hóa.
Khi tính năng này bị vô hiệu hóa, tin tặc có thể yêu cầu dữ liệu xác thực cho bất kỳ người dùng nào và DC sẽ trả lại một phiếu cấp vé được mã hóa (TGT). Sau đó, nó có thể được sử dụng để sử dụng vũ lực trong môi trường ngoại tuyến để bẻ khóa mật khẩu.
Xác thực trước có thể bị vô hiệu hóa trên bất kỳ tài khoản người dùng nào trong Active Directory trên Tab tài khoản Bên dưới Tùy chọn tài khoản. Tìm hộp kiểm “Không yêu cầu xác thực trước Kerberos. ”
 |
| Đặt cờ không yêu cầu xác thực trước Kerberos trong Active Directory |
AS-REP Roasting là kỹ thuật cho phép lấy lại các băm mật khẩu cho những người dùng có cờ này được đặt trong Active Directory. Ngoài ra, các công cụ hack và an ninh mạng khác nhau cho phép bẻ khóa các TGT được thu thập từ Active Directory. Chúng bao gồm Rubeus và Hashcat.
Sử dụng một công cụ như Rubeus, những kẻ tấn công có thể tìm thấy các tài khoản không yêu cầu xác thực trước và sau đó trích xuất dữ liệu cấp vé (TGT) để bẻ khóa mật khẩu ngoại tuyến.
Dữ liệu có thể được chuyển đổi thành một định dạng có thể được bẻ khóa bằng một công cụ ngoại tuyến như Hashcat, có thể sử dụng bẻ khóa mật khẩu brute force để chống lại các hàm băm. Quá trình này kết hợp việc sử dụng tệp từ điển để đoán mật khẩu brute-force.
Ngăn chặn cuộc tấn công AS-REP Roasting
Một cách rõ ràng để ngăn chặn cuộc tấn công AS-REP Roasting là kiểm tra môi trường Active Directory của bạn và đảm bảo không có tài khoản nào được định cấu hình với tùy chọn “Không yêu cầu xác thực trước Kerberos”.
Ngoài việc kiểm tra cài đặt Active Directory của bạn để xác thực trước được định cấu hình không đúng, bạn muốn đảm bảo rằng người dùng được yêu cầu sử dụng mật khẩu mạnh và phức tạp.
Ngoài ra, điều quan trọng là đảm bảo mật khẩu không được tìm thấy trong cơ sở dữ liệu mật khẩu bị vi phạm vì danh sách mật khẩu bị vi phạm được sử dụng để bẻ khóa mật khẩu được trích xuất bằng cách sử dụng tấn công AS-REP Roasting. Bảo vệ bằng mật khẩu vi phạm không được tìm thấy nguyên bản trong Active Directory. Vì vậy, cần phải có giải pháp của bên thứ ba cho loại bảo vệ này.
Bảo vệ mật khẩu bị vi phạm với Specops
Thực thi các chính sách mật khẩu hiệu quả và sử dụng giải pháp bảo vệ mật khẩu bị vi phạm cho Active Directory là điều cần thiết để đảm bảo môi trường của bạn không dễ bị tấn công bởi các cuộc tấn công Kerberos như AS-REP Roasting. Ngoài ra, các chính sách mật khẩu hiệu quả giúp đảm bảo người dùng đang sử dụng mật khẩu mạnh không dễ đoán hoặc dễ bị tấn công bằng vũ lực hoặc các cuộc tấn công mật khẩu thông thường khác.
Chính sách mật khẩu Specops đưa các chính sách mật khẩu vào kỷ nguyên hiện đại với các chức năng và tính năng không có trong Active Directory. Nó ngăn mật khẩu yếu và thậm chí bị vi phạm sử dụng trong môi trường bằng cách sử dụng một trong những tính năng quan trọng nhất của Chính sách mật khẩu Specops, Bảo vệ mật khẩu bị vi phạm.
Gần đây, Specops đã phát hành phiên bản tiếp theo của Bảo vệ mật khẩu bị vi phạm với Dữ liệu tấn công trực tiếp. Dữ liệu tấn công trực tiếp đến từ một giải pháp honeypot toàn cầu được Specops sử dụng để thu thập các mật khẩu được sử dụng trong các cuộc tấn công bạo lực trực tiếp. Chúng được tích hợp với biện pháp bảo vệ hiện tại do Specops cung cấp cho khách hàng sử dụng cơ sở dữ liệu Mật khẩu bị vi phạm và giải pháp được cập nhật liên tục với các mật khẩu bị vi phạm gần đây nhất.
Ngoài ra, với Bảo vệ mật khẩu bị vi phạm có trong Chính sách mật khẩu Specops, các tổ chức có thể nhanh chóng triển khai bảo vệ mật khẩu bị vi phạm để ngăn người dùng sử dụng mật khẩu bị xâm phạm. Ví dụ: nếu người dùng cố gắng chọn một mật khẩu được tìm thấy trong cơ sở dữ liệu phong phú về các mật khẩu bị vi phạm do Specops duy trì (hơn hai tỷ), mật khẩu đó không được chấp nhận. Ngoài ra, nếu mật khẩu của người dùng bị vi phạm sau khi được xác định trong Active Directory, các tổ chức có thể sử dụng Specops Password Policy để buộc người dùng của họ thay đổi mật khẩu ở lần đăng nhập tiếp theo.
 |
| Chính sách mật khẩu Specops Bảo vệ mật khẩu bị vi phạm |
Ngoài Bảo vệ mật khẩu bị vi phạm trong Chính sách mật khẩu Specops, nó bổ sung nhiều tính năng và lợi ích khác để tăng cường khả năng điều chỉnh chính sách mật khẩu của tổ chức bạn để phù hợp với nhu cầu kinh doanh và duy trì mức độ bảo mật cao trong môi trường của bạn. Bao gồm các:
- Khả năng thêm nhiều từ điển mật khẩu tùy chỉnh
- Lão hóa mật khẩu dựa trên độ dài
- Thông báo hết hạn mật khẩu được tích hợp sẵn
- Hạn chế nội dung mật khẩu
- Biểu thức chính quy để kiểm soát thêm nội dung mật khẩu
- Nhiều tùy chọn đặt lại mật khẩu
- Số ký tự tối thiểu được yêu cầu thay đổi để đặt lại mật khẩu
Cân nhắc
Active Directory là giải pháp nhận dạng số một được sử dụng trong các tổ chức ngày nay. Thật không may, những kẻ tấn công nhắm mục tiêu rất nhiều vào môi trường Active Directory để tìm cách đánh cắp thông tin đăng nhập. Các phương pháp tấn công của chúng bao gồm tấn công các giao thức xác thực được Active Directory sử dụng, bao gồm cả Kerberos. AS-REP Roasting là một kiểu tấn công nhằm tìm kiếm các tài khoản có xác thực trước cờ cho Kerberos chưa được đặt cho người dùng.
Sau khi được tìm thấy, các công cụ hack có thể được sử dụng để cưỡng bức mật khẩu của người dùng. Một trong những cách tốt nhất mà các tổ chức có thể tự bảo vệ là có các chính sách mật khẩu tốt cùng với việc bảo vệ mật khẩu bị vi phạm, vì những kẻ tấn công thường sử dụng cơ sở dữ liệu mật khẩu bị vi phạm trong một cuộc tấn công AS-REP Roasting. Chính sách mật khẩu Specops giúp các doanh nghiệp tăng cường bảo mật mật khẩu của họ, bao gồm Bảo vệ mật khẩu bị vi phạm.
