Penyetelan ulang kata sandi sering kali merupakan respons pertama terhadap dugaan penyusupan. Ini masuk akal; menyetel ulang kredensial adalah cara cepat untuk memutus jalur masuk penyerang yang paling jelas.
Namun, hal itu tidak selalu menyelesaikan masalah sepenuhnya. Di lingkungan Direktori Aktif (AD) dan hibrid Entra ID, perubahan kata sandi tidak langsung membatalkan kredensial lama di setiap jalur autentikasi.
Bahkan jendela yang pendek pun merupakan peluang yang berpotensi memungkinkan penyerang mempertahankan akses atau membangun kembali pijakan.
Bagi arsitek keamanan dan administrator TI, kesenjangan ini mempunyai implikasi nyata selama respons insiden.
Kesenjangan pengaturan ulang kata sandi
Kata sandi cache sistem Windows di-hash secara lokal untuk mendukung logon offline. Jika perangkat belum terhubung kembali ke domain, perangkat tersebut mungkin masih menyimpan kredensial sebelumnya dalam bentuk yang dapat digunakan. Di dalam lingkungan hibridamungkin juga terdapat penundaan singkat sebelum kata sandi baru disinkronkan ke Entra ID.
Ini berarti ada tiga kemungkinan keadaan yang dibuat setelah pengaturan ulang kata sandi:
1. Pengguna telah login dengan kredensial baru saat terhubung ke AD. Pembaruan penyimpanan kredensial yang di-cache, membatalkan hash lama.
2. Pengguna belum login ke mesin tertentu sejak reset. Kredensial cache lama mungkin masih dapat digunakan untuk upaya autentikasi tertentu.
3. Dalam penerapan hibrid, kata sandi telah diatur ulang di AD tetapi hash baru belum disinkronkan ke Entra ID. Kata sandi lama mungkin masih diautentikasi selama interval sinkronisasi hash kata sandi.
Bagaimana penyerang mengeksploitasi kesenjangan tersebut
Kredensial yang di-cache
Penyerang memanfaatkan hash kata sandi yang di-cache dengan metode seperti lulus-the-hashyang menggunakan hash itu sendiri, bukan kata sandi teks biasa. Jika hash tersebut ditangkap sebelum pengaturan ulang, mengubah kata sandi tidak serta merta membuat kata sandi menjadi tidak valid di mana pun.
Membatasi paparan tersebut sangat penting untuk mempertahankan lingkungan AD. Solusi seperti Specops uReset aktifkan penyetelan ulang kata sandi layanan mandiri yang aman dengan menerapkan verifikasi ID pengguna akhir untuk mengurangi risiko penyalahgunaan penyetelan ulang.
Ketika digabungkan dengan Klien Specops, uReset dapat segera memperbarui penyimpanan kredensial cache lokal di perangkat tempat penyetelan ulang dilakukan, menutup jendela di mana hash lama tetap dapat digunakan pada titik akhir tersebut.
Hal ini tidak sepenuhnya menghilangkan penyimpangan identitas, namun mengurangi paparan di tepi jaringan, tempat laptop perusahaan dan sistem jarak jauh sering menjadi sasaran.
Sesi aktif
Otentikasi AD terutama ditangani melalui tiket Kerberos, yang valid untuk jangka waktu tertentu. Jika pengguna atau penyerang sudah memiliki tiket yang valid, mereka dapat terus mengakses sumber daya tanpa memasukkan kembali kata sandi.
Itu berarti penyerang dengan sesi aktif tetap terautentikasi bahkan setelah kata sandi diubah. Dalam beberapa kasus, jangka waktu tersebut cukup panjang untuk membentuk persistensi tambahan atau bergerak kesamping.
Kecuali jika sesi secara eksplisit dibatalkan, melalui logoff, reboot, atau pembersihan tiket, akses dapat terus berlanjut setelah pengaturan ulang itu sendiri.
Akun layanan
Tidak seperti akun pengguna, akun layanan cenderung memiliki kata sandi yang tahan lama, dengan hak istimewa yang lebih tinggi yang terikat pada sistem penting. Penyerang dapat mengekspos kredensial tersebut melalui teknik seperti memanggang kerber atau menemukannya ketika bergerak secara lateral melalui jaringan.
Karena akun-akun ini terkait dengan layanan yang sedang berjalan, kecil kemungkinannya untuk direset dengan cepat, terutama jika terdapat risiko gangguan. Hal ini menjadikannya sebagai cadangan yang dapat diandalkan bagi penyerang setelah titik akses awal ditutup.
Serangan tiket
Seperti disebutkan di atas, dalam lingkungan yang menggunakan protokol otentikasi Kerberos, akses dikontrol melalui tiket, bukan pemeriksaan kata sandi berulang. Jika penyerang dapat memalsukan tiket tersebut, mereka tidak memerlukan kredensial yang valid sama sekali.
Serangan Tiket Emas, yang dimungkinkan dengan menyusupi akun Tiket Pemberian Tiket Kerberos, memungkinkan penyerang membuat tiket pemberian tiket yang valid untuk setiap pengguna di domain. Tiket Perak lebih bertarget, memberikan akses ke layanan tertentu tanpa menghubungi pengontrol domain.
Dalam kedua kasus tersebut, serangan ini secara efektif mengabaikan perubahan kata sandi. Menyetel ulang kata sandi pengguna tidak akan membatalkan tiket palsu, dan akses dapat berlanjut hingga masalah mendasar diatasi.
Izin
AD sangat didorong oleh Daftar Kontrol Akses (ACL). Jika penyerang memberikan hak pada akun yang disusupi (atau akun baru yang mereka kendalikan) seperti mengatur ulang kata sandi untuk pengguna lain, mereka secara efektif telah membuat pintu belakang. Meskipun kata sandi asli diubah, izin tersebut tetap ada.
Selain itu, akun yang dilindungi oleh AdminSDHolder (seperti Admin Domain) mewarisi izin dari template tertentu. Penyerang yang memodifikasi ACL pada objek AdminSDHolder dapat memastikan izin mereka diterapkan kembali setiap jam oleh SDProp.
Bagaimana memastikan penyerang disingkirkan
Waktu antara pengaturan ulang kata sandi dan sinkronisasi antara AD dan Entra ID singkat, biasanya hanya beberapa menit, yang sangat membatasi peluang penyerang untuk mengeksploitasi celah tersebut. Memaksa sinkronisasi yang lebih sering juga dimungkinkan, misalnya menyalakan Pemberitahuan Perubahan AD atau memulai Sinkronisasi secara manual ke penyewa Entra ID.
Namun, kesenjangan tersebut masih ada, dan pada saat akun disusupi, penyerang mungkin sudah bisa mendapatkan pijakan tambahan. Jika pengaturan ulang kata sandi saja tidak cukup, pembela HAM perlu mempertimbangkan untuk menutup akses sepenuhnya.
Itu dimulai dengan membatalkan apa pun yang sudah dimainkan. Sesi aktif harus dihentikan, dan tiket Kerberos dihapus dengan memaksa logoff atau reboot pada sistem yang terpengaruh. Untuk kompromi yang lebih serius, mereset akun KRBTGT (dua kali) sering kali diperlukan untuk membatalkan tiket palsu.
Berikutnya adalah kebersihan kredensial yang melampaui akun pengguna standar. Kata sandi akun layanan harus dirotasi, terutama yang memiliki hak istimewa lebih tinggi, dan kredensial cache apa pun di titik akhir harus dihapus saat sistem terhubung kembali.
Sama pentingnya adalah meninjau apa yang berubah dalam direktori itu sendiri. Itu berarti mengaudit:
- Keanggotaan grup
- Hak dan ACL yang didelegasikan
- Akun dan peran istimewa
Carilah apa pun yang memungkinkan akses dibuat kembali tanpa bergantung pada kata sandi.
Untuk pelanggaran serius, tidak ada satu langkah pun yang menjamin penggusuran. Ini adalah kombinasi dari memotong sesi, merotasi kredensial yang tepat, dan memverifikasi bahwa tidak ada jalur akses tersembunyi yang tersisa.
Amankan AD Anda hari ini
Memperkuat AD Anda mengharuskan setiap akun dilindungi dengan kata sandi yang kuat, dikombinasikan dengan proses pengaturan ulang yang aman yang membatasi peluang penyalahgunaan.
Specops membantu Anda melakukan keduanya, memberi Anda keyakinan bahwa pengaturan ulang kata sandi memperkuat keamanan Anda daripada menimbulkan celah baru.
Pesan demo untuk melihat bagaimana solusi kami dapat mendukung strategi keamanan identitas Anda.
Disponsori dan ditulis oleh Perangkat Lunak Specops.
