讓企業陷入風險

定期稽核 AD，找出離職員工的閒置帳戶或未使用的服務帳戶。企業也應該要考慮透過定義原則，將閒置一段時間的帳戶移除或停用，以協助找出過時或未使用的帳戶。
儘管直接衝擊 AD 的弱點並不常見， 但攻擊者傾向於將數種弱點串連在 一起，企圖藉此提高其特權。讓 AD 淪為攻擊箭靶的弱點縱使設定錯誤讓攻擊者有機會輕鬆入侵網路的 AD，但 AD 也跟軟體一樣很容易受到弱點的 影響。儘管直接衝擊 AD 的弱點並不常見，但攻擊者傾向於將數種弱點串連在一起，企圖藉 此提高其特權，且常會利用合法帳戶和 AD 存取權，進一步轉攻、存取或攻擊網路中的敏 感系統。單單過去一年就出現了以下兩個赫赫有名的弱點。
Zerologon (CVE-2020-1472)
Microsoft 在其發佈的 2020 年 8 月週二修補程式日中，解決了最近在記憶體中的 AD 裡找到的一個最重大的弱點。CVE-2020-1472 是 Microsoft 的 Netlogon 遠端通訊協定 (MS-NRPC) 中出現的權限提升弱點。此弱點是由 Secura 的研究人員所發現，且於 2020
年 9 月發表白皮書和部落格貼文，詳細闡述該缺陷的嚴重性並將其 CVSSv3 評分為 10.0。 Secura 將此缺陷命名為 Zerologon，主要是因為在 Netlogon 工作階段時採用不安全的 AES-CFB8 加密所致。研究人員發現藉由將初始向量 (IV) 和訊息全都設為零值，在執行每 256 次嘗試之中，就會有 1 次成功通過驗證，因此把它命名為 Zerologon。
Zerologon 可讓攻擊者假冒成網路中的任何機器，甚至可以重設網域控制器的管理員密碼。 成功後，攻擊者便可如入無人之境，隨心所欲地提升權限或在網路中橫向移動。
在一連串的概念驗證 (PoC) 攻擊程式指令碼釋出後，攻擊者很快地便將 Zerologon 整合到 攻擊劇本之中。
數位鑑識與資安事端應變 (DFIR) 研究報告於近日發表一篇部落格貼文，文中披露攻擊者可 透過網路釣魚電子郵件取得最初進入網路的存取權，並使用 Zerologon 提升為網域管理權 限以入侵網域並在網路中四處部署 Ryuk 勒索軟體，整個過程只需要不到五個小時的時間。
此外，駭客愛用的攻擊程式工具 Mimikatz 目前已包含 Zerologon 安全漏洞的攻擊機制， 許多美國政府機構為此發出警示，警告公共部門和私人企業網路注意此缺陷的危險性， 要求必須立即完成該漏洞的補救措施，並強調不作為所可能導致的嚴重後果。Microsoft 最初在其發佈的 2020 年 8 月週二修補程式日中提供 Zerologon 漏洞的修補更新。該公司於 2021 年 2 月發出第二階段修補程式，將「強制執行模式」設定變更為預設設定，提高攻擊者惡意利用此 漏洞的難度。
ProxyLogon
歷經一連串猖獗的目標式攻擊之後，Microsoft 於 2021 年 3 月公布了一項頻外公告，解決Microsoft Exchange 中的四個零時差弱點。此後的數日到數週期間，許多駭客組織紛紛鎖定數以千計的 Exchange 伺服器發動無差別攻擊，意圖利用不良的網路衛生，再搭配釋出的概念驗證 (PoC) 攻擊程式指令碼來入侵伺服器。
在這四個弱點當中，又以伺服器端要求偽造 (SSRF) 漏洞 CVE-2021-26857 最為嚴重，當時向 Microsoft 揭露此缺陷的其中一名研究人員將其命名為 ProxyLogon。未經驗證的攻擊者只要發送特製的 HTTP 要求給目標伺服器，即可輕鬆利用 ProxyLogon 漏洞。ProxyLogon 可以跟其他的 Exchange 伺服器弱點串連在一起，在受影響的主機上植入 Web 殼層。這讓攻擊者有能力在系統上執行遠端程式碼，並利用新取得的存取權探索網路。正如所料，攻擊者試圖透過這些 Exchange 伺服器使用的服務帳戶來刺探 AD， 確定有哪些存取權限可供利用。利用此存取權再加上橫向移動，攻擊者即可用電子郵件伺服器作為攻擊中樞，進一步掌控整個網路。
總結
AD 是網路中最不可或缺，但通常也是安全防護最不足的系統。多年來的設定錯誤與定義不當的存取權與使用者群組、多如牛毛的閒置帳戶及過於寬鬆的設定，使得攻擊者惡意利用 AD 的功能來發動攻擊的風險大增。費一番心思仔細稽核 AD 環境，依據企業的特殊 需求擬定相應的最佳做法，將有助於降低風險。
雖然無法保證具備管理員權限的使用者一定不會按下網路釣魚電子郵件中的連結，但盡可能減少存取層級不當的使用者數目，將有益於降低企業的風險。改善 AD 環境的網 路健康教育、訂立固定的修補週期、擬定處理頻外 (OOB) 修補程式的計畫及定期備份， 這些動作都可以協助貴企業做好準備，因應下一個影響 AD 環境的弱點。管理員和防禦 者必須嚴陣以待，隨時保持警戒，建置各項原則以降低曝險並守護系統核心的安全。
Tenable是一家全球領先的網路安全服務和產品供應商，我們提供了可持續、自動分析和檢測 AD 安全和攻擊路徑的技術與產品。
若需了解更多有關 Tenable.ad 的訊息，請聯繫創泓科技官網: www.uniforce.com.tw

Related Keywords

Vietnam , Republic Of , United States , , He Service , Service Start Or , Start Service , Public Department , Management Service , A Service , Mission Or , Viagra Walker , Access Roads , White Paper , Progress Yet , Service This , Wang Science , வியட்நாம் , குடியரசு ஆஃப் , ஒன்றுபட்டது மாநிலங்களில் , தொடங்கு சேவை , பொது துறை , மேலாண்மை சேவை , பணி அல்லது , நுழைவு சாலைகள் , வெள்ளை காகிதம் , சேவை இது ,