Có nhiều phương pháp tin tặc có thể sử dụng để tiến hành tấn công chiếm quyền điều khiển hệ thống trong Active Directory (AD). Bài này chỉ đưa ra một số phương pháp được sử dụng phổ biến hiện nay. Các kỹ thuật được đề cập đến trong tài liệu này giả định kẻ tấn công đã có thể triu cập vào hệ thống AD dưới quyền người dùng bình thường.
1.Tìm kiếm mật khẩu trong Group Policy Preference (GPP) và SYSVOL
Đây là một phương pháp đơn giản vì không cần sử sụng một công cụ tấn công đặc biệt nào. Tất cả những gì kẻ tấn công cần làm là mở Windows Explorer và tìm kiếm tập tin SYSVOL – nơi lưu trữ các tập tin XML được chia sẻ. Đa phần các tập tin có tên sau đây sẽ chứa các thông tin: groups.xml, scheduledtasks.xml, và services.xml.
SYSVOL là tập tin mở rộng được chia sẻ trên AD và tất cả người dùng đã xác thực đều có thể truy cập. SYSVOL lưu trữ các scipt đăng nhập, dữ liệu group policy, và những dữ liệu tên miền mở rộng khác. Tất cả các Domain Group Policies được lưu trữ ở: \\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\
Khi một GPP được khởi tạo, một tập tin XML đồng thời cũng được tạo ra trong SYSVOL với các dữ liệu thiết lập, nếu có chứa mật khẩu, nó sẽ được mã hóa dưới dạng AES-256 bit. Tuy nhiên, vào năm 2012, Microsoft đã công bố khóa mã AES trên MSDN có thể được sử dụng để giải mã mật khẩu. Do đó, bất kỳ người dùng đã xác thực trong miền đều có thể tìm kiếm các tập tin XML được chia sẻ trong SYSVOL có chứa thông tin “cpassword” để giải mã và tìm mật khẩu được mã hóa.
Phương pháp khắc phục:
- Cài đặt gói KB2962486 trên các máy tính được sử dụng để quản lý các GPO nhằm ngăn chặn các thông tin mới được lưu trong GPP
- Xóa các tập tin XML lưu mật khẩu có sẵn trong SYSVOL
- Không lưu mật khẩu trong các tập tin chia sẻ.
(To be Continues…..)