تیم آبی NSA و CISA ده پیکربندی نادرست تنظیمات امنیتی را منتشر کردهاند. در این مقاله از وبسایت امنیت اینترنت کنشتک به اعتبارنامههای ضعیف اشاره میکنیم. همچنین میتوانید از مقاله «پیکربندی نادرست امنیت سایبری : تنظیمات پیشفرض سیستمها و سرویسها» نیز بازدید کنید.
اعتبارنامههای ضعیف باعث میشوند که عاملان تهدید دسترسی اولیه را براحتی بدست بیاورند، همین باعث میشود اقدامات بعدی آنها تسهیل پیدا کند. بخصوص اگر MFA مقاوم در برابر فیشینگ فعال نباشد. اعتبارنامههای ضعیف شامل موارد زیر است:
- پسوردهایی که براحتی شکسته میشوند
- افشای رمزعبورها به شکل متن ساده
پسوردهایی که براحتی شکسته میشوند
رمزعبورهایی که به راحتی شکسته میشوند، پسوردهایی هستند که عامل مخرب میتواند با استفاده از منابع محاسباتی نسبتاً ارزان در مدت کوتاهی آنها را حدس بزند. وجود پسوردهایی که به راحتی قابل شکستن در یک شبکه هستند، عموماً از نداشتن طول رمز عبور کافی (کوتاهتر از ۱۵ کاراکتر) و عدم تصادفی بودن ( منحصر به فرد نیست یا قابل حدس زدن است) ناشی میشود. این اغلب به دلیل سیاستهای سست و ضعیف سازمانی و عدم آموزش کاربران است. سیاست رمزعبوری که فقط به رمزهای عبور کوتاه و ساده نیاز دارد، پسوردهای کاربر را مستعد شکستن میکند. سازمانها باید استفاده از ابزارهای مدیریت رمز عبور را برای کارمندان فراهم کنند تا بتوانند رمزهای عبور امن و تصادفی را برای هر حساب تولید و استفاده کنند.
اغلب، هنگامی که یک اعتبارنامه به دست میآید، هش (رمزگذاری یک طرفه) رمز عبور است و نه خود رمز عبور. اگرچه برخی از هشها را می توان مستقیماً از تکنیکهای PtH -کوتاه شده Pass the Hash- استفاده کرد. اما بسیاری از هشها برای رسیدن به رمزعبور باید کرک شوند. فرآیند کرک کردن بدین صورت است که هش بدست آمده از رمزعبور کاربر را میگیرد و از فهرستهای لغت، که اغلب از پایگاه دادهای از میلیاردها رمز عبور قبلاً به خطر افتاده است، استفاده میکند تا رمز عبور متن ساده را پیدا کند.
یکی از راههای اصلی برای شکستن رمزهای عبور، استفاده از ابزار منبع باز Hashcat است که با لیست رمزعبورهای بهدستآمده از نقضهای رمز عبور عمومی ایجاد شده است. هنگامی که یک عامل مخرب به رمز عبور متن ساده دسترسی پیدا میکند، فقط با مجوزهای حساب محدود میشود. در برخی موارد، عامل مخرب ممکن است توسط پیادهسازیهای پیشرفته دفاعی در عمق و یا تکنیکهای اعتماد صفر نیز محدود یا شناسایی شود، اما این، متاسفانه، به ندرت دیده میشود.
افشای رمزعبورها به شکل متن ساده
ذخیره پسوردها به شکل متن ساده یک خطر امنیتی جدی است. یک عامل مخرب با دسترسی به فایلهای حاوی رمزعبورها میتواند از این اعتبارنامهها برای ورود به اپلیکیشنها یا سیستمهای آسیبدیده تحت کنترل یک کاربر قانونی استفاده کند. لاگها، در صورت وجود، هم گزارش یک ورود به ظاهر قانونی را ثبت میکنند.
عوامل مخرب فایل های متنی، صفحات گسترده، اسناد و فایل های پیکربندی را به امید به دست آوردن رمزهای عبور به شکل متن ساده جستجو میکنند. تیمهای ارزیابی نیز از ابزار متنبازی مانند Snaffler برای پیدا کردن رمزعبورهای به شکل متن ساده استفاده میکنند.
منبع: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a
