Image credit: magnific
Enam Celah Active Directory Tersembunyi – Active Directory (AD) masih jadi tulang punggung otentikasi di hampir semua jaringan perusahaan. Sayangnya, patuh pada standar keamanan tidak otomatis membuat sistem Anda kebal.
Banyak organisasi merasa aman karena telah melewati audit kepatuhan, padahal celah fatal justru sering tersembunyi di balik angka hijau pada laporan audit tersebut.
Data terbaru menunjukkan serangan terhadap Active Directory melonjak 42% pada tahun 2025. Lebih dari 90% insiden siber modern melibatkan AD dalam satu atau lebih tahapan serangan.
Menurut laporan, lebih dari 90% keberhasilan serangan justru disebabkan oleh kesenjangan yang sebenarnya bisa dicegah, bukan oleh eksploit zero-day yang canggih.
Berikut enam jalur serangan yang paling sering dimanfaatkan peretas untuk menjebol AD yang secara teknis sudah “patuh” dan lebih penting lagi, cara menutup celahnya.
1. Kata Sandi yang Sudah Bocor di Database Kriminal
Paradoks keamanan terbesar saat ini bukanlah kata sandi yang lemah, melainkan kata sandi yang terlihat kuat tapi sudah dicuri.
Peneliti menemukan bahwa 19% dari 1,7 miliar kata sandi yang bocor, termasuk string kompleks seperti `ue6WESJOm5rfs1Jpre1v@Y#H`, justru memenuhi standar perusahaan yang ketat.
Infostealer, malware pencuri data yang kini marak beredar, tidak membedakan apakah kata sandi Anda panjang 8 atau 20 karakter.
Yang mereka ambil adalah hash atau teks polos yang tersimpan di memori browser atau aplikasi. Sekali dicuri, kata sandi tersebut dijual di pasar gelap dan bisa dipakai peretas untuk masuk seolah-olah sebagai pengguna sah.
Kompleksitas tidak sama dengan keamanan. Kata sandi bisa patuh di atas kertas, tapi sudah telanjang di database kriminal,.
Solusi: Kebijakan kata sandi harus melampaui aturan kompleksitas dan secara proaktif memeriksa apakah kredensial sudah pernah bocor.
Alat seperti ESET atau solusi manajemen kata sandi enterprise bisa memindang AD terhadap database kata sandi yang telah dikompromikan yang saat ini jumlahnya sudah melebihi 5,8 miliar dan memaksa pengguna untuk mengganti kata sandi yang terdeteksi terpapar.
|
Baca juga: Bisnis Pencurian Informasi |
2. Pass-the-Hash: Masuk Tanpa Tahu Kata Sandi
Serangan pass-the-hash memanfaatkan hash kata sandi yang tersimpan di memori sistem. Jika peretas berhasil mengekstrak hash tersebut, biasanya menggunakan tool seperti Mimikatz, mereka bisa berotentikasi ke sistem lain tanpa pernah mengetahui kata sandi aslinya.
Bayangkan Anda punya kunci duplikat yang dibuat dari cetakan kunci asli. Anda tidak perlu tahu bentuk kunci asli, yang penting cetakan itu bisa membuka pintu.
Kata sandi dengan panjang 15 karakter atau lebih mencegah pembuatan hash LAN Manager (LM) yang lebih lemah.
Meski hash LM sudah dinonaktifkan secara default di AD modern, sistem warisan dan kredensial yang tersimpan di cache masih bisa mengeksposnya.
Solusi: Kombinasi proteksi endpoint yang kuat, virtualization-based security untuk melindungi memori, dan multi-factor authentication (MFA) sebagai lapisan pertahanan tambahan.
Namun perlu diingat, MFA bukan peluru perak, peretas masih bisa bergerak di dalam jaringan setelah mendapatkan hash.
3. Kerberoasting: Memanggang Akun Layanan
Kerberoasting adalah teknik yang mengeksploitasi protokol Kerberos untuk mencuri kredensial akun layanan.
Caranya: penyerang dengan akun berprivilege rendah meminta tiket layanan (TGS) yang dienkripsi menggunakan kata sandi akun layanan tersebut.
Tiket ini kemudian dibawa pulang dan dipecahkan secara offline dengan brute force, tanpa risiko terdeteksi oleh sistem monitoring.
Akun layanan sering jadi korban karena password-nya jarang diubah, kadang bertahun-tahun, dan kebijakan rotasi password sering kali tidak mencakup akun-akun ini.
Data menunjukkan bahwa 79% organisasi memiliki pengguna dengan hak akses berlebihan, dan 45% masih menjalankan kebijakan kata sandi yang usang atau tidak memadai. Akun layanan yang over-privileged dan jarang diawasi menjadi target empuk.
Solusi: Gunakan kata sandi yang kuat dan unik untuk setiap akun layanan, lakukan rotasi secara berkala, dan pantau permintaan tiket layanan yang tidak biasa.
Implementasi Group Managed Service Accounts (gMSA) juga direkomendasikan untuk mengelola akun layanan secara lebih aman.
4. DCSync: Menyamar sebagai Domain Controller
DCSync adalah serangan yang meniru proses replikasi antar domain controller. Dengan membuat permintaan GetNCChanges yang tampak sah, penyerang bisa mencuri hash kata sandi langsung dari AD, termasuk kredensial administrator dan akun layanan, tanpa perlu mengakses domain controller secara fisik.
Ini seperti menyamar sebagai kurir bank yang berhak mengambil uang dari brankas. Prosesnya terlihat normal, tapi yang mengambil justru penyerang.
Serangan ini sangat berbahaya karena memanfaatkan mekanisme legitim yang ada di dalam AD itu sendiri. Tool seperti Mimikatz memudahkan pelaku untuk melancarkan DCSync setelah mendapatkan hak replikasi yang cukup.
Solusi: Batasi hak replikasi dengan sangat ketat, audit secara rutin perubahan pada grup domain dan izin replikasi, serta hapus akun yang tidak aktif atau tidak diperlukan. Kontrol privileged account harus menjadi prioritas utama.
|
Baca juga: Aplikasi Konferensi Video Pencuri Informasi |
5. Golden Ticket: Kunci Emas ke Kerajaan Digital
Golden Ticket dianggap sebagai salah satu teknik persistensi paling berbahaya dalam Active Directory. Penyerang yang berhasil mendapatkan hash NTLM dari akun KRBTGT, akun kunci yang menandatangani semua tiket Kerberos, bisa membuat tiket otentikasi palsu untuk berpura-pura menjadi siapa saja, termasuk domain admin.
Golden Ticket itu seperti memiliki master key yang bisa membuka semua pintu di gedung. Dan yang lebih parah, kunci ini tidak bisa diganti dengan mengubah kata sandi pengguna biasa. Anda harus mengubah password KRBTGT secara spesifik.
Tiket palsu ini terlihat sah secara kriptografis, sehingga sangat sulit dideteksi. Penyerang bisa menjaga akses berbulan-bulan atau bahkan bertahun-tahun.
Solusi: Lindungi akun KRBTGT dengan sangat hati-hati dan lakukan rotasi password minimal setiap 180 hari. Terapkan prinsip least privilege secara konsisten dan gunakan tiered administration model untuk membatasi dampak kompromi.
6. Aplikasi Lama yang Terintegrasi dengan AD
Aplikasi warisan yang terintegrasi dengan AD sering menjadi pintu masuk yang terlupakan. Banyak aplikasi lama masih mengandalkan kredensial hard-coded, enkripsi usang, atau protokol tidak aman yang sudah tidak digunakan lagi.
Masalahnya, aplikasi ini sering kali business-critical. Organisasi tidak bisa serta-merta mematikan atau menggantinya. Butuh perencanaan berbulan-bulan,
Audit menyeluruh membantu mengidentifikasi aplikasi mana yang paling berisiko. Di mana perbaikan tidak bisa dilakukan segera, kontrol akses yang lebih ketat, isolasi sistem, dan monitoring intensif bisa menjadi pengaman sementara.
Solusi: Prioritaskan penggantian integrasi berisiko tinggi dalam jangka panjang. Sementara itu, terapkan kontrol kompensatori seperti segmentasi jaringan dan monitoring tambahan untuk aplikasi yang tidak bisa segera diperbaiki.
Semua Berawal dari Kata Sandi
Jika diamati, ada pola yang muncul dari keenam jalur serangan di atas. Peretas jarang perlu menemukan teknik baru. Sebuah kata sandi yang lemah, digunakan ulang, atau sudah bocor biasanya cukup untuk memulai rantai serangan.
Dari situ, Kerberoasting, DCSync, Golden Ticket, dan teknik lainnya hanyalah langkah berikutnya yang membangun dari pijakan pertama tersebut.
“Laporan Verizon Data Breach Investigation Report menemukan bahwa kredensial yang dikompromikan terlibat dalam 88% pelanggaran data. Angka itu tidak berbohong, kata sandi masih jadi gerbang utama,” tegas peneliti.
Data dari berbagai studi juga menunjukkan bahwa 30% akun AD di beberapa organisasi adalah akun yatim piatu atau tidak aktif yang menjadi pintu masuk tak terawasi.
Sementara itu, aktivitas mencurigakan di luar jam kerja terus meningkat, dengan sepertiga insiden terkait ancaman insider.
Organisasi yang ingin serius melindungi AD harus melangkah lebih jauh dari sekadar kepatuhan audit. Dibutuhkan visibilitas menyeluruh, kebijakan kata sandi yang adaptif, dan pemantauan berkelanjutan yang mampu mendeteksi anomali sebelum menjadi bencana.
Keamanan Active Directory bukan lagi soal checklist, ini adalah perang berkelanjutan yang membutuhkan kewaspadaan proaktif, bukan reaktif.
Sumber berita:
