本周要分享的案例,和活动目录中随意存放密码的疏忽操作有关。本期内容由英国网络安全企业莱莱恩斯网络安全公司应急咨询服务主管罗布・安德森提供。
安德森讲述了这样一件事:他此前服务过一家企业,该公司会为开发人员创建服务账户,但企业并未部署正规的密码保险箱来保管账户凭证。为了方便员工查找信息,工作人员索性将密码直接填写在了活动目录的描述栏里。
安德森在接受《The Register》采访时表示:“很多人都没有意识到,哪怕只是一名普通的活动目录用户,也能读取整个目录内所有账户的备注与描述信息。这是极其严重的安全疏漏。”
不久后,一名初始访问中介(这类不法分子专门入侵受保护的网络,再将访问权限转卖给其他恶意攻击者)通过钓鱼攻击,在终端设备上植入了恶意黑客工具 Sliver。攻击者借此盗取了一名员工的账户凭证,进而开始检索活动目录数据。
黑客进入活动目录后,轻而易举拿到了大量具备完整域权限的账户密码。他们利用这些权限清空了所有备份文件,并部署勒索软件。此次攻击加密了所有 Hyper-V 虚拟机及宿主机,导致两千余名用户无法正常办公,企业整体停摆长达数月。
这起惨痛事件也为所有人敲响警钟:切勿将密码以明文形式存放在任何易被访问的位置,否则会大幅扩大安全受攻击面。即便没有遭遇钓鱼攻击,心怀不轨的内部员工也可能将密码倒卖牟利。相关调查显示,如今有八分之一的职场人员认为,出售公司登录凭证的行为情有可原。
安德森还补充道:“我还见过有人把配置信息存放在正在运行的应用服务器中。不法分子会采用模糊测试技术,尝试各类常见文件与目录名称,最终窃取配置数据和账户凭证。”
他坦言,如今开发人员对凭证存放的规范意识有所提升,但安全意识淡薄依旧会酿成重大事故。网络安全领域,切勿轻信任何人。
苏公网安备32021302001419号