Các nhà nghiên cứu an ninh mạng đang cảnh báo về một kỹ thuật tấn công nguy hiểm. Kỹ thuật này kết hợp cấu hình IPv6 giả mạo với chuyển tiếp thông tin xác thực NTLM (NTLM credential relay). Mục tiêu cuối cùng là đạt được việc chiếm quyền điều khiển hoàn toàn miền Active Directory. Kỹ thuật này khai thác các cấu hình Windows mặc định mà hầu hết các tổ chức thường bỏ qua hoặc không thay đổi.

Tổng Quan Kỹ Thuật Tấn Công MITM6 + NTLM Relay

Cuộc tấn công Active Directory thông qua MITM6 + NTLM Relay khai thác các yêu cầu DHCPv6 tự động của hệ thống Windows. Điều này xảy ra ngay cả trong các mạng không chủ động sử dụng IPv6. Công ty bảo mật Resecurity gần đây đã trình bày chi tiết cách thức kẻ tấn công có thể định vị mình như một máy chủ DHCP IPv6 giả mạo. Từ đó, chúng có thể chặn thông tin liên lạc mạng và chuyển hướng các truy vấn DNS đến các máy chủ độc hại.

Kỹ thuật này trở nên đặc biệt nguy hiểm khi kết hợp với các cuộc tấn công chuyển tiếp NTLM. Các công cụ như ntlmrelayx từ framework Impacket được sử dụng để thực hiện điều này. Bằng cách giả mạo dịch vụ Giao thức Tự động Khám phá Proxy Web (WPAD) và chuyển tiếp các nỗ lực xác thực, kẻ tấn công có thể thu thập thông tin xác thực và leo thang đặc quyền trên toàn bộ mạng doanh nghiệp.

Đây là một mối đe dọa mạng đáng kể, tận dụng điểm yếu từ cách hoạt động mặc định của hệ thống.

Ba Cấu Hình Active Directory Mặc Định Bị Khai Thác

Hiệu quả của cuộc tấn công này bắt nguồn từ ba cấu hình Active Directory mặc định quan trọng. Các tổ chức thường bỏ qua hoặc không nhận thức được mức độ rủi ro của chúng.

Ưu Tiên DHCPv6 của Windows

Đầu tiên, các máy Windows ưu tiên DHCPv6 hơn DHCPv4 trong quá trình khởi tạo mạng. Điều này tạo ra một vector tấn công tức thì. Kẻ tấn công có thể thiết lập một máy chủ DHCPv6 giả mạo trên mạng cục bộ. Khi máy trạm Windows yêu cầu cấu hình mạng, nó sẽ ưu tiên nhận phản hồi từ máy chủ DHCPv6 độc hại này. Điều này cho phép kẻ tấn công kiểm soát việc phân phối địa chỉ IP và cấu hình DNS cho các máy trạm mục tiêu.

Thuộc Tính ms-DS-MachineAccountQuota

Thứ hai, bất kỳ người dùng miền nào đã được xác thực có thể thêm tới mười tài khoản máy mà không cần đặc quyền đặc biệt. Điều này được thực hiện thông qua thuộc tính ms-DS-MachineAccountQuota. Mặc định, giá trị của thuộc tính này là 10. Kẻ tấn công có thể sử dụng quyền này để tạo các tài khoản máy độc hại mới. Các tài khoản này sau đó được sử dụng như một bước đệm để leo thang đặc quyền trong miền.

Lạm Dụng Ủy Quyền Dựa Trên Tài Nguyên (RBCD)

Thứ ba, các tài khoản máy tính có thể tự sửa đổi thuộc tính msDS-AllowedToActOnBehalfOfOtherIdentity của chúng. Thuộc tính này cho phép lạm dụng Ủy quyền Dựa trên Tài nguyên (Resource-Based Constrained Delegation – RBCD). RBCD là một tính năng hợp pháp trong Active Directory, cho phép một dịch vụ (chạy trên tài khoản máy) được ủy quyền thay mặt cho người dùng khác khi truy cập tài nguyên trên một máy tính khác. Tuy nhiên, khi kẻ tấn công kiểm soát một tài khoản máy, chúng có thể cấu hình RBCD để mạo danh các tài khoản có đặc quyền, bao gồm cả Quản trị viên miền (Domain Administrators). Điều này cuối cùng giúp chúng giành được quyền kiểm soát hoàn toàn cơ sở hạ tầng miền. Để hiểu sâu hơn về các kỹ thuật liên quan đến việc chiếm quyền điều khiển trong Active Directory, bạn có thể tham khảo thêm cảnh báo của CISA về các kỹ thuật xâm nhập AD.

Quy Trình Tấn Công Chi Tiết

Cuộc tấn công Active Directory này tuân theo một cách tiếp cận có hệ thống, được chia thành nhiều giai đoạn:

Giai Đoạn 1: Thiết Lập Máy Chủ DHCPv6 Giả Mạo

Kẻ tấn công trước tiên tự thiết lập làm máy chủ DHCPv6 giả mạo bằng cách sử dụng công cụ mitm6. Công cụ này gửi các thông báo quảng cáo router (Router Advertisement) IPv6. Nó cũng phản hồi các yêu cầu DHCPv6 từ các máy trạm Windows. Điều này buộc các máy trạm phải cấu hình IPv6 và sử dụng DNS server của kẻ tấn công.

# Ví dụ lệnh mitm6
mitm6 -i eth0 --debug

Giai Đoạn 2: Chuyển Tiếp Xác Thực và Tạo Tài Khoản Máy Độc Hại

Sau khi kiểm soát DNS, kẻ tấn công chuyển hướng các yêu cầu xác thực bị chặn đến các dịch vụ LDAP. Đặc biệt là các yêu cầu liên quan đến WPAD. Quá trình này tự động tạo ra các tài khoản máy tính độc hại với khả năng mạo danh. Đây là bước quan trọng để chuẩn bị cho việc leo thang đặc quyền tiếp theo.

Giai Đoạn 3: Thu Thập Thông Tin Xác Thực và Khám Phá Mạng

Các công cụ như secretsdump.py được sử dụng để trích xuất các hàm băm mật khẩu (password hashes) từ các hệ thống bị xâm nhập. Sau đó, CrackMapExec được sử dụng để kiểm tra các thông tin xác thực bị đánh cắp trên toàn bộ các dải mạng. Mục đích là để xác định các máy chủ có thể truy cập được và mở rộng phạm vi tấn công.

# Ví dụ lệnh secretsdump.py
secretsdump.py -hashes :<NT_HASH> <DOMAIN>/<USERNAME>@<TARGET_IP>

# Ví dụ lệnh CrackMapExec
cme smb <TARGET_RANGE> -u <USERNAME> -p <PASSWORD> --pass-the-hash <NT_HASH>

Giai Đoạn 4: Chiếm Quyền Điều Khiển Từ Xa và Di Chuyển Ngang

Giai đoạn cuối cùng liên quan đến việc sử dụng thông tin xác thực đã trích xuất với các công cụ như WMIExec hoặc PsExec. Điều này giúp kẻ tấn công giành quyền kiểm soát hệ thống từ xa. Từ đó, chúng có thể thực hiện di chuyển ngang (lateral movement) và duy trì quyền truy cập dai dẳng trên toàn bộ mạng bị xâm nhập. Đây là giai đoạn hoàn thành việc chiếm quyền điều khiển miền.

Hậu Quả và Rủi Ro Nghiêm Trọng

Các chuyên gia an ninh cảnh báo rằng các cuộc tấn công MITM6 + NTLM Relay thành công dẫn đến những hậu quả thảm khốc. Ngoài việc tấn công Active Directory và kiểm soát miền ngay lập tức, các tổ chức còn phải đối mặt với:

• Đánh cắp thông tin xác thực: Toàn bộ thông tin đăng nhập của người dùng và quản trị viên có thể bị lộ.
• Di chuyển ngang rộng rãi: Kẻ tấn công có thể dễ dàng xâm nhập vào các hệ thống khác trong mạng.
• Triển khai mã độc tống tiền (ransomware): Đây là một nguy cơ cao sau khi có quyền kiểm soát miền.
• Gián đoạn dịch vụ thiết yếu: Gây ra bởi việc đầu độc DNS (DNS poisoning).
• Truy cập dai dẳng: Kẻ tấn công có thể duy trì quyền truy cập ngay cả khi các điểm vào ban đầu bị phát hiện.

Những rủi ro này đặt ra một thách thức lớn về an toàn thông tin cho mọi doanh nghiệp.

Biện Pháp Phòng Ngừa và Bản Vá Bảo Mật

Các chuyên gia an ninh mạng khuyến nghị các biện pháp phòng thủ cấp bách để chống lại mối đe dọa mạng này. Việc áp dụng các biện pháp này là cần thiết để bảo vệ cơ sở hạ tầng Active Directory:

• Vô hiệu hóa IPv6 nếu không sử dụng: Nếu mạng không sử dụng IPv6, việc tắt nó sẽ loại bỏ vector tấn công MITM6.
• Triển khai ký LDAP (LDAP signing) và ràng buộc kênh (channel binding): Điều này bảo vệ các phiên LDAP khỏi các cuộc tấn công chuyển tiếp.
• Hạn chế đặc quyền tạo tài khoản máy: Giảm giá trị của thuộc tính ms-DS-MachineAccountQuota hoặc vô hiệu hóa khả năng người dùng tạo tài khoản máy.

# Vô hiệu hóa khả năng người dùng tạo tài khoản máy
dsmod domain <DOMAIN_DN> -set-adprop ms-DS-MachineAccountQuota 0

Giám sát hoạt động DHCP đáng ngờ: Triển khai hệ thống giám sát để phát hiện các máy chủ DHCP giả mạo trên mạng.

Triển khai phân đoạn mạng: Giới hạn khả năng di chuyển ngang của kẻ tấn công bằng cách chia nhỏ mạng thành các phân đoạn biệt lập.

Sự phụ thuộc của cuộc tấn công vào các cấu hình mặc định này nhấn mạnh tầm quan trọng của việc tăng cường bảo mật (security hardening) trong môi trường doanh nghiệp. Việc thực hiện các bản vá bảo mật và cấu hình an toàn là yếu tố then chốt để ngăn chặn các cuộc tấn công Active Directory tiềm tàng.