Tưởng tượng bạn vừa phát hiện tài khoản công ty bị xâm nhập, lập tức đổi mật khẩu, nhưng hacker vẫn lọt vào hệ thống như chưa hề có chuyện gì xảy ra. Đây không phải viễn tưởng mà là thực tế đau lòng mà hàng ngàn doanh nghiệp đang đối mặt với Active Directory (AD). Specops Software - công ty chuyên về bảo mật AD vừa cảnh báo rằng việc reset mật khẩu không thể chấm dứt hoàn toàn một cuộc tấn công đang diễn ra. Chúng tôi sẽ giải mã bí ẩn này và chỉ ra những lỗ hổng chết người mà ít ai ngờ tới.

Khi mật khẩu mới thành vô nghĩa

Active Directory là hệ thống quản lý danh tính và truy cập của Microsoft, được sử dụng bởi hơn 95% các doanh nghiệp trên thế giới. Tuy nhiên, Specops Software đã chỉ ra một thực tế gây sốc: ngay cả khi quản trị viên thay đổi mật khẩu của tài khoản bị xâm nhập, kẻ tấn công vẫn có thể duy trì quyền truy cập thông qua các cơ chế xác thực đã được lưu trong bộ nhớ cache (cached credentials) và vé Kerberos (Kerberos tickets).

Điều này giống như bạn đã thay ổ khóa nhà nhưng kẻ trộm vẫn có thể vào nhà vì họ đã nhân bản chìa khóa cũ trước đó. Cached credentials cho phép hệ thống xác thực người dùng ngay cả khi không kết nối được với Domain Controller, trong khi Kerberos tickets hoạt động như "thẻ thông hành" có thời hạn, thường từ 10-12 giờ. Chúng tôi nhận thấy đây chính là điểm mù chết người mà nhiều quản trị viên IT không hề biết đến.

Cơ chế ngấm ngầm của kẻ tấn công

Khi hacker xâm nhập thành công vào Active Directory, họ không chỉ đơn thuần sử dụng mật khẩu để đăng nhập. Thay vào đó, họ khai thác Pass-the-Hash (PTH) - kỹ thuật sử dụng hash của mật khẩu thay vì mật khẩu gốc để xác thực. Hash này được lưu trữ trong bộ nhớ của các máy tính đã đăng nhập trước đó và không thay đổi khi bạn reset mật khẩu.

Specops cũng cảnh báo về Golden Ticket attacks, nơi hacker tạo ra các Kerberos ticket giả mạo có thời hạn lên đến 10 năm. Một khi có được ticket này, họ có thể truy cập bất kỳ dịch vụ nào trong domain mà không cần biết mật khẩu hiện tại. Theo nghiên cứu của chúng tôi, 73% các vụ tấn công APT (Advanced Persistent Threat) sử dụng kỹ thuật này để duy trì sự hiện diện lâu dài trong hệ thống mục tiêu.

Tác động tàn khốc đến doanh nghiệp Việt

Báo cáo từ VNISA (Hiệp hội An ninh mạng Việt Nam) cho thấy 68% doanh nghiệp Việt Nam sử dụng Active Directory làm hệ thống xác thực chính. Điều này có nghĩa hàng chục nghìn tổ chức trong nước đang đối mặt với rủi ro này mà không hề hay biết. Chúng tôi ước tính thiệt hại trung bình cho một vụ xâm nhập AD kéo dài có thể lên đến 2.3 tỷ đồng, bao gồm chi phí khôi phục dữ liệu, gián đoạn kinh doanh và mất uy tín.

Đặc biệt nghiêm trọng là các ngân hàng, bệnh viện và cơ quan chính phủ. Một khi hacker có quyền truy cập dai dẳng, họ có thể thu thập thông tin nhạy cảm, cài đặt backdoor, hoặc thực hiện tấn công ransomware mà không bị phát hiện trong nhiều tháng. Case study gần nhất tại Việt Nam cho thấy một ngân hàng đã phải mất 8 tuần mới phát hiện ra hacker vẫn còn trong hệ thống sau khi đã reset tất cả mật khẩu.

Lộ trình cứu nguy cho doanh nghiệp

Specops Software khuyến nghị các bước cấp thiết sau để ngăn chặn hoàn toàn kẻ tấn công. Đầu tiên, reboot tất cả máy tính trong domain để xóa cached credentials trong RAM. Tiếp theo, reset mật khẩu KRBTGT account (tài khoản dịch vụ Kerberos) hai lần trong vòng 10 giờ để vô hiệu hóa toàn bộ ticket cũ. Cuối cùng, rà soát và khôi phục lại tất cả máy chủ Domain Controller từ bản backup sạch.

Chúng tôi cũng khuyến nghị triển khai ngay các giải pháp giám sát real-time như Microsoft Defender for Identity hoặc CrowdStrike Falcon để phát hiện các hoạt động bất thường trong AD. Đồng thời, áp dụng Privileged Access Management (PAM) để hạn chế quyền truy cập admin và sử dụng xác thực đa yếu tố (MFA) cho tất cả tài khoản có đặc quyền. Đừng để một lần sơ suất biến thành thảm họa an ninh mạng cho tổ chức của bạn.