Các tổ chức thường triển khai xác thực đa yếu tố (MFA) và cho rằng mật khẩu bị đánh cắp không còn đủ để truy cập hệ thống. Trong môi trường Windows, giả định đó thường sai lầm. Tin tặc vẫn hàng ngày xâm nhập mạng bằng cách sử dụng thông tin đăng nhập hợp lệ. Vấn đề không nằm ở bản thân MFA, mà là phạm vi bao phủ.
Được thực thi thông qua nhà cung cấp danh tính (IdP) như Microsoft Entra ID, Okta hoặc Google Workspace, MFA hoạt động tốt cho các ứng dụng đám mây và đăng nhập liên kết. Nhưng nhiều phiên đăng nhập Windows chỉ dựa vào các đường dẫn xác thực Active Directory (AD) mà không bao giờ kích hoạt lời nhắc MFA. Để giảm thiểu rủi ro bị xâm nhập dựa trên thông tin đăng nhập, các nhóm bảo mật cần hiểu rõ nơi xác thực Windows diễn ra bên ngoài ngăn xếp danh tính của họ.
Bảy đường dẫn xác thực Windows mà tin tặc dựa vào
1. Đăng nhập Windows tương tác (cục bộ hoặc tham gia miền)
Khi người dùng đăng nhập trực tiếp vào máy trạm hoặc máy chủ Windows, quá trình xác thực thường được xử lý bởi AD (qua Kerberos hoặc NTLM), chứ không phải bởi một IdP đám mây.
Trong môi trường hybrid, ngay cả khi Entra ID thực thi MFA cho các ứng dụng đám mây, các phiên đăng nhập Windows truyền thống vào hệ thống đã tham gia miền vẫn được kiểm duyệt bởi các bộ điều khiển miền on-prem. Trừ khi Windows Hello for Business, smart cards, hoặc một cơ chế MFA tích hợp khác được triển khai, không có yếu tố bổ sung nào trong luồng này.
Nếu kẻ tấn công lấy được mật khẩu của người dùng (hoặc NTLM hash), chúng có thể xác thực vào một máy đã tham gia miền mà không kích hoạt các chính sách MFA bảo vệ các ứng dụng software-as-a-service hoặc single sign-on liên kết. Từ góc độ của bộ điều khiển miền, đây là một yêu cầu xác thực tiêu chuẩn.
Các công cụ như Specops Secure Access là chìa khóa để hạn chế rủi ro lạm dụng thông tin đăng nhập trong các kịch bản này. Bằng cách thực thi MFA cho đăng nhập Windows, cũng như cho các kết nối VPN và Remote Desktop Protocol (RDP), công cụ này khiến kẻ tấn công khó giành quyền truy cập trái phép vào mạng của bạn hơn. Điều này thậm chí còn mở rộng sang các lần đăng nhập ngoại tuyến, được bảo mật bằng xác thực mã dùng một lần.
2. Truy cập RDP trực tiếp bỏ qua conditional access
RDP là một trong những phương pháp truy cập bị nhắm mục tiêu nhiều nhất trong môi trường Windows. Ngay cả khi RDP không được phơi bày ra internet, kẻ tấn công thường tiếp cận nó thông qua lateral movement sau khi xâm nhập ban đầu. Một phiên RDP trực tiếp đến máy chủ không tự động đi qua các kiểm soát MFA dựa trên đám mây, điều này có nghĩa là đăng nhập có thể chỉ dựa vào thông tin đăng nhập AD cơ bản.
3. Xác thực NTLM
NTLM là một giao thức xác thực cũ, mà mặc dù đã bị loại bỏ để ủng hộ giao thức Kerberos an toàn hơn, vẫn tồn tại vì lý do tương thích. Nó cũng là một vector tấn công phổ biến vì nó hỗ trợ các kỹ thuật như pass-the-hash.
Trong các cuộc tấn công pass-the-hash, kẻ tấn công không cần mật khẩu plaintext; thay vào đó, chúng sử dụng NTLM hash để xác thực. MFA không giúp ích gì nếu hệ thống chấp nhận hash làm bằng chứng danh tính.
NTLM cũng có thể xuất hiện trong các luồng xác thực nội bộ mà các tổ chức có thể không chủ động giám sát; chỉ một sự cố hoặc một cuộc kiểm tra mới làm lộ nó cho các nhóm bảo mật.
4. Lạm dụng vé Kerberos
Kerberos là giao thức xác thực chính cho AD. Thay vì đánh cắp mật khẩu trực tiếp, kẻ tấn công đánh cắp vé Kerberos từ bộ nhớ hoặc tạo các vé giả sau khi xâm nhập các tài khoản đặc quyền. Điều này cho phép các kỹ thuật như:
- Pass-the-ticket
- Golden Ticket
- Silver Ticket
Các cuộc tấn công này cho phép truy cập dài hạn và lateral movement, đồng thời cũng giảm nhu cầu đăng nhập lặp lại, từ đó giảm khả năng bị phát hiện. Các cuộc tấn công này có thể tồn tại ngay cả sau khi đặt lại mật khẩu nếu sự xâm nhập cơ bản không được giải quyết triệt để.
5. Tài khoản quản trị viên cục bộ và tái sử dụng thông tin đăng nhập
Các tổ chức vẫn dựa vào các tài khoản quản trị viên cục bộ cho các tác vụ hỗ trợ và phục hồi hệ thống. Nếu mật khẩu quản trị viên cục bộ được tái sử dụng trên các điểm cuối, kẻ tấn công có thể leo thang một sự xâm nhập thành quyền truy cập rộng rãi.
Các tài khoản quản trị viên cục bộ thường xác thực trực tiếp vào điểm cuối, bỏ qua hoàn toàn các kiểm soát MFA. Các chính sách conditional access của Entra ID không áp dụng. Đây là một lý do tại sao credential dumping vẫn rất hiệu quả trong môi trường Windows.
6. Xác thực Server Message Block (SMB) và lateral movement
SMB được sử dụng để chia sẻ tệp và truy cập từ xa vào các tài nguyên Windows. Nó cũng là một trong những đường dẫn lateral movement đáng tin cậy nhất một khi kẻ tấn công có thông tin đăng nhập hợp lệ. Kẻ tấn công thường sử dụng SMB để truy cập các chia sẻ quản trị như C$ hoặc để tương tác với các hệ thống từ xa bằng thông tin đăng nhập hợp lệ.
Nếu xác thực SMB được coi là lưu lượng nội bộ, MFA hiếm khi được thực thi ở lớp này. Nếu kẻ tấn công có thông tin đăng nhập hợp lệ, chúng có thể sử dụng SMB để di chuyển giữa các hệ thống một cách nhanh chóng.
7. Tài khoản dịch vụ không bao giờ kích hoạt MFA
Service accounts tồn tại để chạy các tác vụ đã lên lịch, ứng dụng, tích hợp và dịch vụ hệ thống. Chúng thường có thông tin đăng nhập ổn định, quyền rộng và thời gian tồn tại dài.
Trong nhiều tổ chức, mật khẩu service account không hết hạn và hiếm khi được giám sát. Chúng cũng khó bảo vệ bằng MFA vì quá trình xác thực được tự động hóa. Thường xuyên, các tài khoản này được sử dụng trong các ứng dụng legacy không thể hỗ trợ các kiểm soát xác thực hiện đại.
Đây là một lý do tại sao kẻ tấn công nhắm mục tiêu vào thông tin đăng nhập helpdesk và quyền truy cập quản trị viên điểm cuối ngay từ đầu cuộc xâm nhập.
Cách khắc phục các lỗ hổng xác thực Windows
Các nhóm bảo mật nên coi xác thực Windows là một bề mặt bảo mật riêng. Có một số bước thực tế mà các nhóm bảo mật có thể thực hiện để giảm thiểu rủi ro:
1. Thực thi các chính sách mật khẩu mạnh hơn trong AD
Một chính sách mật khẩu mạnh nên thực thi passphrases dài hơn từ 15 ký tự trở lên. Passphrases dễ nhớ hơn cho người dùng và khó bẻ khóa hơn cho kẻ tấn công. Các chính sách mạnh cũng nên ngăn chặn việc tái sử dụng mật khẩu và chặn các mẫu yếu mà kẻ tấn công có thể đoán được.
2. Liên tục chặn mật khẩu bị xâm phạm
Việc đánh cắp thông tin đăng nhập không phải lúc nào cũng là kết quả của các cuộc tấn công brute force. Hàng tỷ mật khẩu đã có sẵn trong các bộ dữ liệu vi phạm để kẻ tấn công tái sử dụng trong các cuộc tấn công thông tin đăng nhập. Việc chặn mật khẩu bị xâm phạm tại thời điểm tạo ra sẽ giảm khả năng người dùng đặt thông tin đăng nhập mà kẻ tấn công đã có.
3. Giảm thiểu rủi ro từ các giao thức xác thực legacy
Nếu có thể, các tổ chức nên hạn chế hoặc loại bỏ xác thực NTLM. Các nhóm bảo mật nên đặt mục tiêu hiểu rõ NTLM tồn tại ở đâu, giảm thiểu nó nếu có thể và thắt chặt các kiểm soát ở những nơi không thể loại bỏ.
4. Kiểm tra service accounts và giảm thiểu quyền ưu tiên dư thừa (privilege creep)
Coi service accounts là các danh tính có rủi ro cao. Các tổ chức nên kiểm kê chúng, giảm các đặc quyền không cần thiết, xoay vòng thông tin đăng nhập và loại bỏ các tài khoản không còn cần thiết. Nếu một service account có quyền cấp miền, tổ chức nên giả định rằng nó sẽ bị nhắm mục tiêu.
Specops có thể giúp như thế nào
Các chính sách mật khẩu mạnh và kiểm tra chủ động chống lại các thông tin đăng nhập bị xâm phạm đã biết là hai trong số những cách hiệu quả nhất để giảm rủi ro tấn công dựa trên thông tin đăng nhập. Specops Password Policy giúp bằng cách áp dụng các kiểm soát mật khẩu linh hoạt vượt xa những gì có sẵn nguyên bản trong Microsoft.
Tính năng Breached Password Protection của nó liên tục kiểm tra mật khẩu Active Directory so với cơ sở dữ liệu gồm hơn 5,4 tỷ thông tin đăng nhập bị lộ, cảnh báo bạn nhanh chóng nếu mật khẩu người dùng bị phát hiện có nguy cơ. Nếu bạn quan tâm đến việc Specops có thể giúp tổ chức của mình như thế nào, hãy nói chuyện với chuyên gia hoặc đặt lịch demo để xem các giải pháp của chúng tôi hoạt động.
