Mật khẩu yếu và những lỗi khác đã dẫn đến vi phạm Thăng thiên thảm khốc như thế nào

Tuần trước, một thượng nghị sĩ nổi tiếng của Hoa Kỳ đã kêu gọi Ủy ban Thương mại Liên bang điều tra Microsoft vì sơ suất an ninh mạng về vai trò của nó vào năm ngoái trong vụ vi phạm ransomware khổng lồ về sức khỏe Ascension, gây ra sự gián đoạn đe dọa tính mạng tại 140 bệnh viện và đưa hồ sơ y tế của 5,6 triệu bệnh nhân vào tay những kẻ tấn công. Mất tập trung vào Microsoft là một cái gì đó như, hoặc nhiều hơn, khẩn cấp: các chi tiết chưa từng được tiết lộ mà bây giờ mời xem xét kỹ lưỡng về các lỗi bảo mật của chính Ascension.

Trong một bức thư được gửi vào tuần trước cho Chủ tịch FTC Andrew Ferguson, Thượng nghị sĩ Ron Wyden (D-Ore.) cho biết một cuộc điều tra của văn phòng của ông đã xác định rằng vụ hack bắt đầu vào tháng 2 năm 2024 với sự lây nhiễm của máy tính xách tay của nhà thầu sau khi họ tải xuống phần mềm độc hại từ một liên kết được trả về bởi công cụ tìm kiếm Bing của Microsoft. Sau đó, những kẻ tấn công đã chuyển từ thiết bị nhà thầu sang tài sản mạng có giá trị nhất của Ascension: Windows Active Directory, một công cụ mà quản trị viên sử dụng để tạo và xóa tài khoản người dùng cũng như quản lý các đặc quyền hệ thống cho chúng. Việc giành quyền kiểm soát Active Directory tương đương với việc có được khóa chính sẽ mở bất kỳ cánh cửa nào trong một tòa nhà bị hạn chế.

Wyden chỉ trích Microsoft vì đã tiếp tục hỗ trợ việc triển khai chương trình này kéo dài ba thập kỷ Kerberos giao thức xác thực sử dụng mật mã không an toàn và, như thượng nghị sĩ đã lưu ý, khiến khách hàng tiếp xúc chính xác với loại vi phạm mà Ascension phải gánh chịu. Mặc dù các phiên bản hiện đại của Active Directory theo mặc định sẽ sử dụng cơ chế xác thực an toàn hơn, nhưng theo mặc định, nó sẽ quay trở lại cơ chế yếu hơn trong trường hợp một thiết bị trên network—, bao gồm cả thiết bị đã bị nhiễm phần mềm độc hại, sẽ gửi yêu cầu xác thực sử dụng nó. Điều đó cho phép những kẻ tấn công thực hiện Kerberoasting, một hình thức tấn công mà Wyden cho biết những kẻ tấn công đã sử dụng để xoay từ máy tính xách tay của nhà thầu trực tiếp đến viên ngọc quý của bảo mật mạng Ascension.

Một nhà nghiên cứu hỏi: “Tại sao?”

Bị loại khỏi letter— của Wyden và trong các bài đăng trên mạng xã hội thảo luận về it— là bất kỳ sự xem xét kỹ lưỡng nào về vai trò của Ascension trong hành vi vi phạm, dựa trên tài khoản của Wyden, là rất đáng kể. Đứng đầu trong số những sai sót an ninh bị nghi ngờ là mật khẩu yếu. Theo định nghĩa, các cuộc tấn công Kerberoasting chỉ hoạt động khi mật khẩu đủ yếu để bị bẻ khóa, đặt ra câu hỏi về sức mạnh của mật khẩu mà kẻ tấn công ransomware Ascension đã xâm phạm.

“Về cơ bản, vấn đề dẫn đến Kerberoasting là mật khẩu xấu,” Tim Medin, nhà nghiên cứu đặt ra thuật ngữ Kerberoasting, cho biết trong một cuộc phỏng vấn. “Ngay cả ở 10 ký tự, mật khẩu ngẫu nhiên sẽ không thể bị bẻ khóa. Điều này khiến tôi tin rằng mật khẩu hoàn toàn không phải là ngẫu nhiên.”

Toán học của Medin dựa trên số lượng kết hợp mật khẩu có thể với mật khẩu 10 ký t. Giả sử nó sử dụng một loại chữ in hoa và chữ thường, số và ký tự đặc biệt được tạo ngẫu nhiên, số lượng kết hợp khác nhau sẽ là 95¹⁰—nghĩa là số lượng ký tự có thể có (95) được nâng lên lũy thừa 10, số lượng ký tự được sử dụng trong mật khẩu. Ngay cả khi được băm bằng chức năng NTLM không an toàn mà xác thực cũ sử dụng, mật khẩu như vậy sẽ mất hơn 5 năm để một cuộc tấn công vũ phu làm cạn kiệt mọi sự kết hợp có thể có. Việc sử dụng hết mọi mật khẩu 25 ký tự có thể sẽ cần nhiều thời gian hơn vũ trụ đã tồn tại.

“Mật khẩu rõ ràng không được tạo ngẫu nhiên. (Hoặc nếu đúng như vậy thì quá ngắn... điều đó thực sự kỳ lạ),” Medin nói thêm. Quản trị viên Ascension “đã chọn mật khẩu có thể bẻ khóa và không sử dụng Tài khoản dịch vụ được quản lý được đề xuất theo quy định của Microsoft và những người khác.”

Không rõ chính xác những kẻ tấn công Ascension đã dành bao lâu để cố gắng bẻ khóa hàm băm bị đánh cắp trước khi thành công. Wyden chỉ nói rằng thỏa hiệp máy tính xách tay xảy ra vào tháng 2 năm 2024. Trong khi đó, sự thăng thiên đã nói rằng nó lần đầu tiên nhận thấy dấu hiệu của sự thỏa hiệp mạng vào ngày 8 tháng 5. Điều đó có nghĩa là phần ngoại tuyến của cuộc tấn công có thể mất tới ba tháng, điều này cho thấy mật khẩu ít nhất có độ mạnh vừa phải. Vết nứt có thể cần ít thời gian hơn vì những kẻ tấn công ransomware thường mất hàng tuần hoặc hàng tháng để có được quyền truy cập cần thiết để mã hóa hệ thống.

Richard Gold, một nhà nghiên cứu độc lập có chuyên môn về bảo mật Active Directory, đồng ý rằng sức mạnh của mật khẩu là đáng ngờ, nhưng ông tiếp tục nói rằng dựa trên tài khoản của Wyden về vi phạm, các sai sót bảo mật khác cũng có khả năng xảy ra.

“Tất cả những nội dung bảo mật nhàm chán, thiếu gợi cảm nhưng hiệu quả đều thiếu sự phân chia mạng, nguyên tắc ít đặc quyền nhất, cần biết và thậm chí cả loại phân cấp tài sản được Microsoft khuyến nghị, — ông viết. “Những nguyên tắc nền tảng của kiến trúc bảo mật này đã không được tuân thủ. Tại sao?”

Gold cho biết, nguyên nhân chính trong số những sai sót là việc không phân bổ hợp lý các đặc quyền, điều này có thể là nguyên nhân lớn nhất dẫn đến vi phạm.

“Rõ ràng không có gì tuyệt vời khi các mật mã lỗi thời vẫn được sử dụng và chúng giúp ích cho cuộc tấn công này, nhưng những đặc quyền quá mức sẽ nguy hiểm hơn nhiều,” anh viết. “Về cơ bản, đó là một tai nạn đang chờ xảy ra. Thỏa hiệp của một máy của người dùng không nên dẫn trực tiếp đến thỏa hiệp miền.”

Ascension đã không trả lời các email hỏi về mật khẩu bị xâm nhập và các hoạt động bảo mật khác của nó.

Kerberos và Active Directory 101

Kerberos được phát triển vào những năm 1980 như một cách để hai hoặc nhiều thiết bị, thường là máy khách và máy chủ, bên trong một mạng không an toàn, chứng minh danh tính của chúng với nhau một cách an toàn. Giao thức này được thiết kế để tránh sự tin cậy lâu dài giữa các thiết bị khác nhau bằng cách dựa vào thông tin xác thực tạm thời, có giới hạn thời gian được gọi là vé. Thiết kế này bảo vệ chống lại các cuộc tấn công phát lại sao chép yêu cầu xác thực hợp lệ và sử dụng lại yêu cầu đó để có được quyền truy cập trái phép. Giao thức Kerberos không phụ thuộc vào mật mã và thuật toán, cho phép các nhà phát triển chọn những giao thức phù hợp nhất cho việc triển khai mà họ đang xây dựng.

Việc triển khai Kerberos đầu tiên của Microsoft bảo vệ mật khẩu khỏi các cuộc tấn công bẻ khóa bằng cách biểu diễn nó dưới dạng hàm băm được tạo bằng một lần lặp duy nhất của hàm băm mật mã NTLM của Microsoft, bản thân nó là một sửa đổi của hàm băm MD4 siêu nhanh và hiện không được dùng nữa. Ba thập kỷ trước, thiết kế đó là đầy đủ và dù sao thì phần cứng cũng không thể hỗ trợ tốt các hàm băm chậm hơn. Với sự ra đời của kỹ thuật bẻ khóa mật khẩu hiện đại, tất cả trừ mật khẩu Kerberos mạnh nhất đều có thể bị bẻ khóa, thường chỉ trong vài giây. Phiên bản Windows đầu tiên của Kerberos cũng sử dụng RC4, một mật mã mã hóa đối xứng hiện không được dùng nữa với các lỗ hổng nghiêm trọng đã được ghi chép rõ ràng trong 15 năm qua.

Một mô tả rất đơn giản về các bước liên quan đến xác thực Active Directory dựa trên Kerberos là:

1a. Máy khách gửi yêu cầu đến Bộ điều khiển miền Windows (cụ thể hơn là thành phần Bộ điều khiển miền được gọi là KDC) cho TGT, viết tắt của “Vé cấp vé.” Để chứng minh rằng yêu cầu đến từ một tài khoản được ủy quyền trên mạng, máy khách sẽ mã hóa dấu thời gian của yêu cầu bằng cách sử dụng hàm băm của mật khẩu mạng của nó. Bước này, và bước 1b bên dưới, xảy ra mỗi khi client đăng nhập vào mạng Windows.

1b. Domain Controller kiểm tra hàm băm dựa trên danh sách thông tin xác thực được ủy quyền để thực hiện yêu cầu như vậy (nghĩa là được ủy quyền tham gia mạng). Nếu Domain Controller chấp thuận, nó sẽ gửi cho khách hàng một TGT mà Lôi được mã hóa bằng hàm băm mật khẩu của KRBTGT, một tài khoản đặc biệt chỉ có Domain Controller biết. TGT, chứa thông tin về người dùng như tên người dùng và tư cách thành viên nhóm, được lưu trữ trong bộ nhớ máy tính của máy khách.

2a. Khi máy khách cần quyền truy cập vào một dịch vụ như máy chủ Microsoft SQL, nó sẽ gửi yêu cầu đến Bộ điều khiển miền mà Lừa được thêm vào TGT được mã hóa được lưu trữ trong bộ nh.

2b. Bộ điều khiển miền xác minh TGT và xây dựng phiếu dịch vụ. Vé dịch vụ được mã hóa bằng hàm băm mật khẩu của SQL hoặc dịch vụ khác và được gửi lại cho chủ tài khoản.

3a. Chủ tài khoản xuất trình vé dịch vụ được mã hóa cho máy chủ SQL hoặc dịch vụ khác.

3b. Dịch vụ giải mã vé và kiểm tra xem tài khoản có được phép truy cập vào dịch vụ đó hay không và nếu có thì với mức đặc quyền nào.

Cùng với đó, dịch vụ cấp quyền truy cập tài khoản. Hình ảnh sau đây minh họa quá trình, mặc dù các con số trong đó không tương ứng trực tiếp với các con số trong bản tóm tắt trên.

 

 

Bắt rang

Năm 2014, Medin xuất hiện tại Hội nghị An ninh DerbyCon ở Louisville, Kentucky, và trình bày một cuộc tấn công mà ông gọi là Kerberoasting. Nó khai thác khả năng của bất kỳ tài khoản người dùng hợp lệ nào—, bao gồm cả one— bị xâm phạm để yêu cầu vé dịch vụ (bước 2a ở trên) và nhận vé dịch vụ được mã hóa (bước 2b).

Sau khi tài khoản bị xâm phạm nhận được vé, kẻ tấn công đã tải xuống vé và thực hiện một cuộc tấn công bẻ khóa ngoại tuyến, thường sử dụng các cụm GPU lớn hoặc Chip ASIC điều đó có thể tạo ra số lượng lớn các lần đoán mật khẩu. Bởi vì Windows theo mặc định đã băm mật khẩu với một lần lặp lại chức năng NTLM nhanh bằng RC4, những cuộc tấn công này có thể tạo ra hàng tỷ lần đoán mỗi giây. Sau khi kẻ tấn công đoán được sự kết hợp phù hợp, chúng có thể tải mật khẩu bị xâm phạm lên tài khoản bị xâm phạm và sử dụng nó để truy cập trái phép vào dịch vụ, nếu không sẽ bị giới hạn.

Ngay cả trước khi Kerberoasting ra mắt, Microsoft vào năm 2008 đã giới thiệu một phương thức xác thực mới hơn, an toàn hơn cho Active Directory. Phương pháp này cũng triển khai Kerberos nhưng dựa vào thuật toán mã hóa AES256 đã được kiểm tra theo thời gian và lặp lại hàm băm thu được 4.096 lần theo mặc định. Điều đó có nghĩa là phương pháp mới hơn khiến các cuộc tấn công bẻ khóa ngoại tuyến trở nên kém khả thi hơn nhiều vì chúng chỉ có thể thực hiện hàng triệu lần đoán mỗi giây. Tuy nhiên, vì lo ngại phá vỡ các hệ thống cũ hơn không hỗ trợ phương pháp mới hơn, Microsoft đã không đặt nó làm mặc định đến năm 2020.

Tuy nhiên, ngay cả vào năm 2025, Active Directory vẫn tiếp tục hỗ trợ phương thức RC4/NTLM cũ, mặc dù quản trị viên có thể định cấu hình Windows để chặn việc sử dụng nó. Mặc dù vậy, theo mặc định, khi máy chủ Active Directory nhận được yêu cầu bằng phương thức yếu hơn, nó sẽ phản hồi bằng một ticket cũng sử dụng nó. Sự lựa chọn này là kết quả của sự cân bằng giữa các kiến trúc sư Windows đã tạo ra sự hỗ trợ liên tục cho các thiết bị cũ vẫn được sử dụng rộng rãi và chỉ có thể sử dụng RC4/NTLM với chi phí để mạng mở cho Kerberoasting.

Nhiều tổ chức sử dụng Windows hiểu được sự đánh đổi, nhưng nhiều người không hiểu. Mãi đến tháng 10 năm ngoái—năm tháng sau thỏa hiệp Ascension— Microsoft mới cuối cùng cảnh báo rằng dự phòng mặc định khiến người dùng “dễ bị [Kerberoasting] hơn vì nó không sử dụng muối hoặc băm lặp lại khi chuyển đổi mật khẩu sang khóa mã hóa, cho phép tác nhân đe dọa mạng đoán nhanh hơn mật khẩu.”

Microsoft tiếp tục nói rằng họ sẽ vô hiệu hóa RC4 “theo mặc định” trong các bản cập nhật Windows trong tương lai không được chỉ định. Tuần trước, để đáp lại bức thư của Wyden, công ty lần đầu tiên cho biết bắt đầu từ quý đầu tiên của năm tới, các cài đặt mới của Active Directory sử dụng Windows Server 2025, theo mặc định, sẽ vô hiệu hóa việc triển khai Kerberos yếu hơn.

Medin đặt câu hỏi về tính hiệu quả của các kế hoạch của Microsoft.

“Vấn đề là rất ít tổ chức thiết lập các cơ sở lắp đặt mới, ông giải thích. “Hầu hết các công ty mới chỉ sử dụng đám mây, do đó sự thay đổi đó phần lớn không liên quan.”

Thăng thiên gọi đến thảm

Wyden đã tập trung vào quyết định của Microsoft để tiếp tục hỗ trợ dự phòng mặc định cho việc triển khai yếu hơn; để trì hoãn và chôn vùi các cảnh báo chính thức khiến khách hàng dễ bị Kerberoasting; và không bắt buộc mật khẩu phải dài ít nhất 14 ký tự, như hướng dẫn của Microsoft khuyến ngh. Tuy nhiên, cho đến nay, hầu như không có sự chú ý nào đến những thất bại của Ascension khiến cuộc tấn công có th.

Với tư cách là nhà cung cấp dịch vụ y tế, Ascension có thể sử dụng thiết bị y tế cũ như máy chụp X-quang hoặc MRI cũ hơn, chẳng hạn như máy chỉ có thể kết nối với mạng Windows khi triển khai cũ hơn. Nhưng ngay cả khi đó, có những biện pháp mà tổ chức có thể đã thực hiện để ngăn chặn trục xoay một hai từ máy tính xách tay bị nhiễm sang Active Directory, cả Gold và Medin đều nói. Cả hai đều cho rằng nguyên nhân có khả năng nhất dẫn đến vi phạm là mật khẩu có thể bẻ khóa được. Họ nói rằng thật khó để hình dung ra một mật khẩu thực sự ngẫu nhiên với 14 ký tự trở lên có thể phải chịu số phận đó.

“IMO, vấn đề lớn hơn là mật khẩu xấu đằng sau Kerberos, không nhiều như RC4,” Medin viết trong một tin nhắn trực tiếp. “RC4 không tuyệt vời nhưng với mật khẩu tốt thì bạn vẫn ổn.” Ông nói tiếp:

Có, RC4 nên được tắt. Tuy nhiên, Kerberoasting vẫn hoạt động chống lại vé được mã hóa AES. Nó chỉ chậm hơn khoảng 1.000 lần. Nếu bạn so sánh điều đó với các ký tự bổ sung, thậm chí làm cho mật khẩu hai ký tự dài hơn làm tăng sức mạnh tính toán 5x hơn AES một mình. Nếu mật khẩu thực sự xấu, và tôi đã thấy rất nhiều trong số đó, 1.000x bổ sung từ AES không tạo ra sự khác biệt.

Medin cũng nói rằng Ascension có thể đã bảo vệ dịch vụ bị vi phạm Tài khoản dịch vụ được quản lý, một dịch vụ của Microsoft để quản lý mật khẩu.

ông giải thích: Mật khẩu “MSA được tạo ngẫu nhiên và tự động xoay. “Nó giết chết 100% Kerberoasting.”

Gold cho biết Ascension có thể đã chặn việc triển khai Kerberos yếu hơn trong mạng chính của mình và chỉ hỗ trợ nó ở một phần được phân đoạn nhằm hạn chế chặt chẽ các tài khoản có thể sử dụng nó. Gold và Medin cho biết tài khoản của Wyden về vi phạm cho thấy Ascension đã không thực hiện điều này và các biện pháp phòng thủ tiêu chuẩn khác, bao gồm phát hiện xâm nhập mạng.

Cụ thể, khả năng những kẻ tấn công không bị phát hiện trong khoảng thời gian từ tháng 2— khi máy tính xách tay của nhà thầu bị nhiễm — và May—khi Ascension lần đầu tiên phát hiện ra hành vi vi phạm — làm dấy lên nghi ngờ rằng công ty đã không tuân theo các biện pháp bảo mật cơ bản trong mạng của mình. Các nhà nghiên cứu cho biết, những sai sót đó có thể bao gồm tường lửa không đầy đủ của các thiết bị khách và phát hiện không đầy đủ các thiết bị bị xâm nhập cũng như Kerberoasting đang diễn ra cũng như các kỹ thuật được hiểu rõ tương tự để di chuyển ngang trong mạng lưới nhà cung cấp dịch vụ y tế.

Thảm họa không nhất thiết phải xảy ra

Kết quả của việc vi phạm Thăng thiên thật thảm khốc. Với nhân viên y tế bị khóa khỏi hồ sơ sức khỏe điện tử và hệ thống điều phối chăm sóc bệnh nhân cơ bản như thuốc men, thủ tục phẫu thuật và xét nghiệm, nhân viên bệnh viện báo cáo những sai sót đe dọa tính mạng của bệnh nhân. Ransomware cũng đánh cắp hồ sơ y tế và các thông tin cá nhân khác của 5,6 triệu bệnh nhân. Sự gián đoạn trên toàn mạng lưới y tế Ascension tiếp tục diễn ra trong nhiều tuần.