Смена пароля после взлома учетной записи не всегда выгоняет атакующего из корпоративной сети. В Active Directory и гибридных средах с Entra ID старые учетные данные могут жить еще некоторое время — в кэше компьютеров, активных сессиях и Kerberos-билетах.

Для компании это означает простую, но неприятную вещь: сброс пароля — только первый шаг реагирования. Если остановиться на нем, злоумышленник может удержать доступ или быстро вернуться через уже подготовленный канал.

Где появляется разрыв после сброса пароля

Active Directory — служба каталогов Microsoft для управления пользователями, компьютерами и правами доступа в домене. В таких средах пароль редко проверяется только в одной точке. Его хэши могут храниться на рабочих станциях, использоваться для входа без связи с доменом и синхронизироваться с облачной системой Entra ID.

Специалисты Specops Software в разборе для BleepingComputer описали несколько типичных состояний после сброса. Если пользователь уже вошел с новым паролем на подключенном к домену компьютере, локальный кэш обновляется, а старый хэш теряет ценность. Если он не заходил на конкретную машину после смены, там может остаться старый кэш.

В гибридной инфраструктуре добавляется еще одна задержка: новый пароль должен синхронизироваться между локальным AD и Entra ID. Обычно речь идет о минутах, но для атакующего даже короткое окно может хватить, чтобы закрепиться.

Кэш, сессии и Kerberos-билеты

Windows хранит кэшированные хэши паролей, чтобы человек мог войти в ноутбук без связи с корпоративной сетью. Это удобно для командировок и удаленной работы, но при взломе превращается в риск. Если атакующий успел украсть хэш до смены пароля, он может попробовать использовать его в атаке pass-the-hash (англ. «передача хэша») — без знания самого пароля.

Еще одна проблема — активные сессии. В доменах AD доступ часто строится на протоколе Kerberos, где пользователь получает билет на ограниченное время и затем обращается к ресурсам без повторного ввода пароля. Если такой билет уже выдан, смена пароля сама по себе не всегда обрывает доступ.

Поэтому расследование не должно заканчиваться на кнопке «сбросить пароль». Нужно завершать сессии, принудительно выводить пользователя из системы, перезагружать затронутые устройства и очищать билеты там, где это нужно.

Почему служебные учетные записи опаснее обычных

Отдельный риск — служебные учетные записи. Их используют приложения, базы данных, резервное копирование и системные службы. Пароли у таких аккаунтов часто меняют редко, а права у них выше, чем у рядового сотрудника.

Если атакующий находит такие учетные данные, он получает запасной вход. Даже если пароль обычного пользователя уже сменили, служебная учетная запись может открыть путь к тем же системам или к новым узлам сети.

В сложных атаках злоумышленники идут дальше: подделывают Kerberos-билеты. Golden Ticket (англ. «золотой билет») связан с компрометацией учетной записи KRBTGT, которая участвует в выпуске билетов в домене. Silver Ticket (англ. «серебряный билет») нацелен на конкретный сервис. В обоих случаях простой сброс пользовательских паролей проблему не закрывает.

Права в каталоге тоже нужно проверять

Active Directory управляет доступом через списки прав — ACL. Если атакующий добавил себе право сбрасывать пароли другим пользователям, менять группы или управлять привилегированными аккаунтами, он фактически оставил дверь обратно.

Особенно опасны изменения вокруг административных групп. В AD есть механизм AdminSDHolder, который регулярно возвращает права для защищенных учетных записей к шаблону. Если злоумышленник изменил этот шаблон, вредные разрешения могут снова появляться даже после ручной чистки.

Похожая логика работает и в других инцидентах с учетными данными: украденный пароль редко остается единственной проблемой. Мы уже разбирали, как уязвимость cPanel используют для кражи паролей сайтов, и там вывод тот же — после утечки надо искать не только сам пароль, но и последствия доступа.

Что это значит для сотрудников

Тема звучит как забота администраторов, но начинается часто с обычного пользователя. По данным отчета Verizon, украденные учетные данные фигурировали в 44,7 % взломов. Сотрудник может потерять пароль через фишинговую страницу, вредоносное вложение или повторное использование одной и той же связки «логин — пароль» в разных сервисах.

Приманки бывают бытовыми: «free discord nitro», «войти в аккаунт в дискорд», «срочно подтвердите почту», «проверьте документ». Если человек вводит корпоративный пароль на постороннем сайте, дальше проблема быстро выходит за пределы его почтового ящика.

Работа из кафе, аэропорта или коворкинга тоже требует осторожности. Для защиты соединения и приватности данных в публичных сетях можно использовать сервис безопасного интернет-соединения, а доступ к корпоративным системам лучше открывать только с устройств, которые контролирует работодатель. О рисках слабой настройки устройств напоминает и история про ботнет xlabs_v1, который заражает Android-устройства через открытый ADB.

Практический вывод: что проверить после взлома учетной записи

  • Сбросьте пароль пострадавшей учетной записи, но не считайте это финалом расследования.
  • Завершите активные сессии пользователя на рабочих станциях, серверах и в облачных сервисах.
  • Очистите Kerberos-билеты или перезагрузите затронутые системы, если есть риск сохраненного доступа.
  • Проверьте компьютеры, где пользователь входил до инцидента: старый кэш мог остаться на отключенных устройствах.
  • Смените пароли служебных учетных записей, если они могли попасть к атакующему.
  • Проверьте группы, делегированные права, ACL и изменения вокруг привилегированных аккаунтов.
  • При серьезной компрометации домена рассмотрите сброс KRBTGT два раза по безопасной процедуре, чтобы аннулировать поддельные билеты.
  • Запретите повторное использование корпоративных паролей в личных сервисах и включите многофакторную защиту там, где она доступна.
  • Разберите с сотрудниками фишинговые сценарии: подозрительная ссылка важнее красивого дизайна страницы.
  • Ведите журнал действий после инцидента — без него легко пропустить скрытый способ возврата в сеть.
Поделиться: