Chiêu thức không mới nhưng vẫn khiến nhiều người mắc bẫy.
Chuyên gia về an toàn thông tin Ngô Minh Hiếu (hay c̣n được biết đến với biệt danh Hiếu PC) mới đây đă đưa ra lời cảnh báo trên trang cá nhân đối với người dùng sử dụng Telegram Desktop.
“Khi nhấp vào tệp tin .m3u này khi đang sử dụng Telegram Desktop bạn sẽ bị lộ thông tin địa chỉ IP, Port và NTLMv2 Hash của Windows. Bị lộ NTLMv2 hash - Kẻ tấn công có thể dùng hash này để đăng nhập vào hệ thống mà không cần biết mật khẩu thật (kỹ thuật Pass-the-Hash), từ đó leo thang đặc quyền, chiếm quyền điều khiển toàn bộ mạng nội bộ”, anh cho biết.
Thực tế, Pass-the-Hash là khái niệm không mới. Dưới đây là những thông tin về loại h́nh này.
Pass-the-Hash là ǵ?
H́nh minh họa. Ảnh: 0x6rss
Pass-the-Hash (PtH) là một kiểu tấn công an ninh mạng. Trong quá tŕnh sử dụng, windows có thiết lập hệ thống SSO, lưu trữ thông tin xác thực và sử dụng chúng trong quá tŕnh người dùng truy cập các tài nguyên được chia sẻ trong mạng (file, máy in,…) mà không cần nhập lại mật khẩu.
Quá tŕnh xác thực này sử dụng giao thức NTLMv2 để và hash NTLMv2 sử dụng NTLM hash trong phương thức trao đổi khóa Challenge/Response. Tính năng này cho phép kẻ tấn công xác thực thông qua NTLM hash mà không cần đến mật khẩu hoặc dùng kỹ thuật MITM để đánh cắp trực tiếp NTLMv2 hash để xác thực.
Không giống như các cuộc tấn công đánh cắp thông tin đăng nhập khác, PtH không yêu cầu kẻ tấn công phải biết hoặc bẻ khóa mật khẩu để có quyền truy cập vào hệ thống. Thay vào đó, nó sử dụng phiên bản đă lưu trữ của mật khẩu để bắt đầu một phiên mới.
Khi ngày càng nhiều tổ chức tận dụng công nghệ đăng nhập một lần (SSO) để hỗ trợ lực lượng lao động từ xa, những kẻ tấn công đă nhận ra lỗ hổng cố hữu của mật khẩu và thông tin đăng nhập người dùng được lưu trữ.
Trong các cuộc tấn công PtH, kẻ xấu đóng giả làm người dùng hợp pháp, đặc biệt khó bị phát hiện v́ hầu hết các giải pháp an ninh mạng truyền thống không thể phân biệt giữa người dùng thực và kẻ tấn công giả mạo.
Như vậy, có nhiều các để thực hiện PtH, về tổng quan th́ có hai bước chính:
1. Trích xuất NTLM hash trên máy tính đă chiếm được quyền.
2. Sử dụng NTLM hash đă trích xuất để xác thực tới máy tính khác.
- Triển khai xác thực đa yếu tố (MFA) yêu cầu các bước xác minh bổ sung ngoài mật khẩu để đảm bảo rằng chỉ thông tin xác thực không thể cấp quyền truy cập.
- Nâng cấp lên các giao thức bảo mật bao gồm việc thay thế NTLM bằng các tùy chọn mạnh hơn, chẳng hạn như cơ chế xác thực Kerberos.
- Hạn chế quyền truy cập tài khoản đặc quyền thông qua quản lư quyền truy cập đặc quyền (PAM) và nguyên tắc đặc quyền tối thiểu để kiểm soát và giám sát các tài khoản nhạy cảm.
- Bảo mật Active Directory (AD) và Windows Server, đồng thời thường xuyên theo dơi cả hai hệ thống.
- Áp dụng chính sách quản lư mật khẩu mạnh bằng cách sử dụng mật khẩu phức tạp và yêu cầu cập nhật mật khẩu thường xuyên.
- Áp dụng mô h́nh không tin cậy, giả định rằng tất cả người dùng và thiết bị đều có thể bị xâm phạm do đánh cắp thông tin đăng nhập, yêu cầu xác minh ở mọi bước.
- Triển khai các giải pháp bảo mật tiên tiến, chẳng hạn như tường lửa, công cụ phát hiện điểm cuối và giám sát mạng, để xác định và ngăn chặn các mối đe dọa mạng trước khi chúng leo thang.
Theo các chuyên gia bảo mật, khi nhận được tin nhắn yêu cầu truy cập vào bất kỳ đường link nào, người dùng cần b́nh tĩnh, kiểm tra lại xem liệu đó có phải link giả mạo hay không v́ thực tế các link này chứa rất nhiều kư tự khác biệt với đường link chính thức của các cơ quan, tổ chức.
Theo các chuyên gia bảo mật, khi nhận được tin nhắn yêu cầu truy cập vào bất kỳ đường link nào, người dùng cần b́nh tĩnh, kiểm tra lại xem liệu đó có phải link giả mạo hay không v́ thực tế các link này chứa rất nhiều kư tự khác biệt với đường link chính thức của các cơ quan, tổ chức.
VietBF@ Sưu tập
News
Library
Technology
Giải Trí
Portals
Tin Sốt
Home
