Buzz
Mặc dù chiêu trò này không còn mới mẻ, nhưng vẫn có không ít người trở thành nạn nhân.
Chuyên gia bảo mật Ngô Minh Hiếu (còn được biết đến với biệt danh Hiếu PC) đã đăng tải một cảnh báo trên trang cá nhân, nhắm đến người dùng Telegram Desktop.
“Khi mở tệp tin .m3u trong Telegram Desktop, bạn sẽ vô tình làm lộ thông tin về địa chỉ IP, Port, và NTLMv2 Hash của hệ thống Windows. Bị lộ NTLMv2 hash có thể khiến kẻ tấn công sử dụng kỹ thuật Pass-the-Hash để đăng nhập vào hệ thống mà không cần mật khẩu thật, qua đó chiếm quyền kiểm soát mạng nội bộ”, anh chia sẻ.
Thực tế, kỹ thuật Pass-the-Hash không phải là điều mới lạ. Dưới đây là thông tin về phương thức này.
Pass-the-Hash là gì?
Minh họa. Nguồn: 0x6rss
Pass-the-Hash (PtH) là một dạng tấn công mạng, lợi dụng việc hệ thống Windows lưu trữ thông tin đăng nhập và sử dụng chúng trong quá trình truy cập tài nguyên mạng (file, máy in,...) mà không cần phải nhập lại mật khẩu.
Quá trình xác thực này sử dụng giao thức NTLMv2 và hash NTLMv2, với NTLM hash trong phương thức trao đổi khóa Challenge/Response. Điều này cho phép kẻ tấn công sử dụng NTLM hash để xác thực mà không cần mật khẩu, hoặc dùng kỹ thuật MITM để lấy trực tiếp NTLMv2 hash phục vụ cho việc xác thực.
Khác với các kiểu tấn công đánh cắp mật khẩu khác, PtH không yêu cầu kẻ tấn công phải biết hoặc bẻ khóa mật khẩu để có quyền truy cập vào hệ thống. Thay vào đó, nó chỉ cần phiên bản mật khẩu đã lưu trữ để bắt đầu một phiên làm việc mới.
Khi ngày càng nhiều tổ chức sử dụng công nghệ đăng nhập một lần (SSO) để hỗ trợ làm việc từ xa, các hacker đã phát hiện ra lỗ hổng bảo mật nghiêm trọng từ việc lưu trữ mật khẩu và thông tin đăng nhập của người dùng.
Trong các cuộc tấn công PtH, kẻ tấn công giả danh người dùng hợp pháp và rất khó bị phát hiện, bởi vì đa phần các hệ thống bảo mật truyền thống không thể phân biệt giữa người dùng thật và kẻ giả mạo.
Về cơ bản, có nhiều cách để thực hiện tấn công PtH, nhưng tổng quan có hai bước chính như sau:
1. Trích xuất NTLM hash từ máy tính đã bị xâm nhập.
2. Sử dụng NTLM hash đã chiếm được để thực hiện xác thực trên các máy tính khác.
Vậy làm sao để giảm thiểu nguy cơ bị tấn công PtH?
Minh họa. Nguồn: Winbuzzer
- Triển khai xác thực đa yếu tố (MFA) yêu cầu các bước xác minh bổ sung ngoài mật khẩu, đảm bảo rằng chỉ thông tin xác thực hợp lệ mới có thể cấp quyền truy cập.
- Nâng cấp các giao thức bảo mật, thay thế NTLM bằng các phương thức bảo mật mạnh mẽ hơn, như cơ chế xác thực Kerberos.
- Hạn chế quyền truy cập vào các tài khoản đặc quyền bằng cách quản lý quyền truy cập đặc biệt (PAM) và áp dụng nguyên tắc đặc quyền tối thiểu để kiểm soát và giám sát tài khoản nhạy cảm.
- Bảo mật Active Directory (AD) và Windows Server, đồng thời thực hiện giám sát thường xuyên cả hai hệ thống này.
- Thiết lập chính sách mật khẩu mạnh mẽ bằng cách sử dụng mật khẩu phức tạp và yêu cầu thay đổi mật khẩu định kỳ.
- Áp dụng mô hình không tin cậy, giả định rằng mọi người dùng và thiết bị đều có thể bị tấn công qua việc đánh cắp thông tin đăng nhập, yêu cầu xác minh liên tục ở tất cả các bước.
- Triển khai các biện pháp bảo mật nâng cao như tường lửa, công cụ phát hiện mối đe dọa từ điểm cuối và giám sát mạng, để phát hiện và ngăn chặn các mối nguy hiểm trước khi chúng có thể lan rộng.
Các chuyên gia bảo mật khuyến cáo rằng khi nhận được tin nhắn yêu cầu truy cập vào bất kỳ đường link nào, người dùng nên thận trọng, kiểm tra kỹ xem đó có phải là link giả mạo không, vì thực tế những đường link này thường chứa các ký tự khác biệt so với địa chỉ chính thức của các tổ chức, cơ quan.
Các chuyên gia bảo mật cũng nhấn mạnh rằng khi nhận được tin nhắn yêu cầu truy cập vào bất kỳ đường link nào, người dùng cần phải cẩn trọng, kiểm tra xem liệu link đó có phải là giả mạo không, bởi vì chúng có thể chứa nhiều ký tự lạ so với đường link chính thức từ các cơ quan, tổ chức.
