論及駭客鎖定微軟AD目錄服務(Active Directory)的攻擊事故,許多人可能會先聯想到的是2020年8月微軟修補的Zerologon漏洞(CVE-2020-1472),該漏洞公開不久就遭到APT組織濫用。但事實上,網管人員對於企業的AD架構不夠熟悉,而產生配置不當(Misconfiguration)的現象,也可能成為攻擊者濫用的管道。

我們可能會認為,配置不當通常是出現在架構較為複雜的雲端服務,但企業很可能會因為先前歷任網管留下來的設置,再加上網管人員很有可能是兼任,而不甚清楚相關配置情況。

在2021臺灣資安大會的議程上,奧義智慧資安研究員姜尚德就針對他們在研究AD的安全,以及實際調查案例中,發現到的一些情況,像是為了資安而全面更換密碼、使用預設的管理群組等現象,這些AD功能的說明與需要留意的細節,其實微軟都有記載於相關文件,但很容易被工作繁重的網管人員給忽略。姜尚德也特別對此提出管理AD的建議。

針對網管人員對於AD管理上的迷思,姜尚德認為,主要可區分為3種,首先是為了防堵攻擊者入侵而重設所有的密碼,卻忽略了AD內建的系統帳號;再者,則是使用者權限分配的現象,很有可能無意間套用了預設管理者群組而給予過多權限,而成為駭客可濫用的對象;其次,姜尚德也指出攻擊者很可能藉由控制AD,進一步入侵企業使用的雲端服務。

但為何管理人員會缺乏相關資安意識,而規畫可能潛藏危機的AD架構?姜尚德說,其實像是MCSE的課程裡都有介紹到他所提及的AD功能,但由於在MCSE等相關的證照考試中,很可能較為偏重如何設定與滿足使用者需求,而非設計安全的AD權限賦予管理結構,因此,對於許多網管人員來說,這些AD的高權限可能是理所當然,而不知道可能潛藏的危害,因為,這些權限同樣也給予駭客濫用的機會。

全面更換密碼應將AD內建特殊帳號納入範圍

一般來說,為了防範駭客再度濫用AD,一旦企業的網域控制器遭到駭客入侵,網管人員尋求廠商協助最常得到的建議,就是全面更換所有使用者的密碼,甚至是重新架設AD。但全面更換密碼不僅非常麻煩,使得網管人員面臨使用者大量抱怨,姜尚德說實際上的效果也非常有限,因為,有些AD內建的預設帳號,沒有更換密碼可能直接讓上述的「苦工」功虧一簣。

他舉出AD處理使用者身分認證的預設帳號Krbtgt,一旦駭客能夠取得該帳號的密碼雜湊值(Hash),就能偽造任意使用者帳號的Ticket Granting Ticket(TGT),發動Golden Ticket攻擊。換言之,若是企業全面換AD使用者的密碼,沒有修改Krbtgt的密碼,很有可能讓駭客能繼續使用原本竊得的密碼雜湊值,冒用任何使用者的身分,並存取相關的資源。

然而,管理者想要重設Krbtgt的密碼並非易事。姜尚德引用微軟的說明文件指出,網管人員若要重設該帳號的密碼,必須執行2次才能真正達到變更的目的,而且,這2次重設密碼的間隔要超過10個小時,原因是10個小時是使用者票證(Ticket)有效時間的上限,同時也是在服務票證原則中,允許票證存留時間的上限。若是管理者於不滿10小時就執行第2次重設密碼作業,就有可能沒有真正達到重設Krbtgt帳號密碼的目的。

高權限帳號群組應避免使用

不過,即使是上述如此勞師動眾來更換AD各式密碼,駭客不久後又再度掌控網域控制器的情況依舊相當發生。但為何會如此?姜尚德認為,原因很可能跟AD預設的高權限群組濫用有關,他舉出Account Operators系統管理員群組為例,微軟的最佳實務是建議不應使用,但他在網路上卻看到有人建議網管人員,將想要具備新增AD帳號權限的使用者,加入Account Operators群組。對此姜尚德頗不以為然,因為,網管人員很可能參考網路上的教學照做,而使用了微軟認為不該採用的群組,而造成企業面臨相關資安風險。

除了Account Operators群組,還有那些群組是常被網管人員誤用的呢?姜尚德舉出6個也可能會被誤用的群組:包含了Backup Operators、Server Operators、Remote Desktop Users、DNSAdmins,以及Group Policy Creator Owners等。因此,姜尚德建議網管人員,不要在這些群組建立使用者帳號,以免增加額外的資安風險。

究竟這些群組的使用者一旦遭到濫用,會造成那些資安風險呢?其中,Backup Operators與Server Operators群組的成員,能夠登入網域控制器並備份資料庫,一旦具有這種權限的AD用戶帳密遭竊,便有可能讓攻擊者取得所有用戶的帳號和密碼。

而Print Operators群組的成員同樣能存取網域控制器,雖然不若上述2種群組能備份網域控制器的資料庫,但可以關掉網域控制器造成AD服務中斷。

對於Remote Desktop Users這個群組,顧名思義應該是提供遠端桌面用戶使用,但姜尚德指出,若是管理者直接套用預設的群組原則物件(GPO),這個群組的使用者可存取網域裡的所有電腦。

至於DNSAdmins與Group Policy Creator Owners群組的使用者,一旦遭到濫用,分別可能會造成權限提升,以及竄改群組原則物件等情況。

部分坊間傳聞僅供參考,網管人員不應以偏概全

在上述修改用戶密碼和濫用管理者群組的情形之外,姜尚德也舉出一些網路上口耳相傳,看似有用實際上效果相當有限的AD防護措施,解析這些做法是否有效。例如,將Windows伺服器的Administrator改名,以免管理者帳號直接被攻擊者濫用,這樣的措施甚至在我國的政府組態基準(GCB)列入。但姜尚德說,此類做法雖然能防範腳本小子(Script Kids)隨意測試本機管理者密碼,但在AD環境下無效,因為AD就像是電話簿,即使伺服器的管理者帳號更名,攻擊者仍然能透過AD查到伺服器管理者帳號的名稱。

此外,也有人會認為駭客愛用Mimikatz攻擊AD,因此網管人員要對於這類工具的濫用加以防範。不過,實際上駭客運用的作案工具並非只有Mimikatz,姜尚德認為,企業不能以偏概全,只依賴單一的方法來保護AD。

熱門新聞

Advertisement