Pohodlí někdy vyjde draho. Jedna firma si ukládala hesla servisních účtů přímo do popisných polí Active Directory — a útočník díky tomu ovládl celou doménu a zašifroval její systémy.
Active Directory (zkráceně AD) je adresářová služba od Microsoftu, kterou používá většina firemních i školních sítí s Windows. Spravuje uživatelské účty, počítače a oprávnění. Každý účet v ní má i nepovinné pole „description“ (popis), kam si správci běžně píší poznámky. Háček je v tom, že tato pole si může přečíst kterýkoliv přihlášený uživatel domény — nejen administrátor.
Přesně to se stalo organizaci, jejíž případ popsala britská bezpečnostní firma Reliance Cyber. Správci si neměli kde bezpečně ukládat hesla servisních účtů pro vývojáře, a tak je z pohodlnosti vepsali do popisných polí v čitelné podobě. Roky to fungovalo bez problému — dokud se do sítě nedostal útočník.
Začalo to phishingem. Zprostředkovatel počátečního přístupu (initial access broker) nalákal oběť, na jejím počítači spustil útočný nástroj Sliver a získal její přihlašovací údaje. S běžným uživatelským účtem si pak jednoduše vypsal popisná pole napříč celou doménou a našel v nich hesla privilegovaných účtů. Tím získal plnou kontrolu. Smazal zálohy a spustil ransomware, který zašifroval hypervizory Hyper-V i hostitelské servery. Více než 2 000 uživatelů zůstalo bez systémů na celé měsíce.
„Lidé si neuvědomují, že jakmile máte účet v Active Directory — třeba úplně obyčejného uživatele — můžete si přečíst pole s komentářem nebo popisem napříč celým Active Directory,“ upozornil Rob Anderson z Reliance Cyber. Tato vlastnost není chyba, ale standardní chování adresáře. Riziko vzniká až ve chvíli, kdy do veřejně čitelného místa uložíte něco citlivého.
Pro české firmy a školy je to varování jako stvořené. Active Directory běží i tady ve většině učeben a kanceláří s Windows a zvyk psát si „malé poznámky“ k účtům je rozšířený. Stačí přitom jediné heslo v popisu a útočníkovi, který se dostane dovnitř, se otevřou dveře k celé síti.
Praktický tip: hesla nikdy nepatří do popisných polí, komentářů ani konfiguračních souborů na sdílených serverech. Pro servisní účty používejte správce hesel nebo nástroje jako Group Managed Service Accounts, kde Windows hesla spravuje samo. A pokud spravujete doménu, zkuste si vypsat popisná pole všech účtů — možná budete překvapeni, co v nich najdete.
Kde si ve vaší síti ukládáte hesla, která nemají ležet na očích?
Zdroj: The Register
