Nhiều doanh nghiệp vô tình duy trì các AD service accounts không còn được sử dụng – thường được tạo ra cho các ứng dụng cũ, tác vụ định kỳ, hoặc môi trường thử nghiệm. Những tài khoản này vẫn hoạt động âm thầm, mật khẩu không hết hạn, và ít được giám sát, trở thành điểm yếu nghiêm trọng cho hệ thống.
Trong các cuộc tấn công quy mô lớn như SolarWinds (2020), tài khoản dịch vụ bị chiếm quyền chính là cánh cửa giúp hacker di chuyển ngang (lateral movement) và leo thang đặc quyền (privilege escalation).
Nguy cơ đến từ đâu ?
- Quét hệ thống phát hiện nhiều tài khoản có mật khẩu không hết hạn, chưa đăng nhập trong thời gian dài./li>
- Tài khoản test hoặc automation bị lãng quên nhưng vẫn còn quyền truy cập hệ thống quan trọng.
- Privilege creep: các tài khoản ban đầu có quyền thấp nhưng tích lũy dần đặc quyền nguy hiểm theo thời gian.
- Phương thức tấn công phổ biến: password spraying, khai thác xác thực cơ bản (Basic Auth), chèn credentials trong script hoặc scheduled task.
Biện pháp phòng ngừa:
- Chỉ cấp quyền least privilege cần thiết cho từng tài khoản dịch vụ.
- Ưu tiên dùng Managed Service Accounts (MSA/gMSA) thay vì tài khoản người dùng thông thường.
- Không cho phép interactive login với tài khoản dịch vụ.
- Định kỳ audit Active Directory, dùng PowerShell hoặc công cụ như Specops Password Auditor.
Đừng để các tài khoản dịch vụ bị lãng quên trở thành “cửa sau” dẫn kẻ tấn công vào hệ thống. Việc rà soát, quản lý và tự động hóa bảo mật cho AD service accounts là bước quan trọng trong chiến lược bảo vệ hạ tầng CNTT hiện đại.
