Giao thức NTLM
NTLM là bộ giao thức bảo mật của Microsoft được thiết kế để cung cấp tính năng xác thực, toàn vẹn và bảo mật cho người dùng cuối. Giao thức này sử dụng cơ chế challenge-response để xác thực. Máy chủ gửi một challenge đến máy khách, được mã hóa bằng mật khẩu của người dùng và response sau đó sẽ được trả về máy chủ.
Về cơ bản, Kerberos được coi là cơ chế xác thực an toàn và hiện đại hơn. Tuy nhiên, NTLM vẫn phổ biến và có nhiều ưu điểm so với Kerberos. Chẳng hạn, nó không yêu cầu kết nối mạng cục bộ với Bộ điều khiển miền (Domain Controller) và loại bỏ nhu cầu biết danh tính của máy chủ mục tiêu.
Để tận dụng những lợi ích này, các nhà phát triển mã hóa NTLM vào ứng dụng và dịch vụ của họ. Điều đó nói lên rằng, có nhiều lỗ hổng khác nhau liên quan đến NTLM có thể dẫn đến các cuộc tấn công Pass-the-hash hoặc Relay. Microsoft khuyến nghị khách hàng nên chuyển sang các giải pháp bảo mật hơn như Kerberos để đảm bảo an ninh. Tuy nhiên, NTLM vẫn được sử dụng rộng rãi để hỗ trợ kế thừa và trong một số trường hợp không thể triển khai Kerberos. Nó cũng có thể phục vụ như một phương thức xác thực dự phòng khi Kerberos bị lỗi.
Cụ thể, các tác nhân đe dọa đã khai thác rộng rãi NTLM trong các cuộc tấn công NTLM Relay, trong đó chúng buộc các thiết bị mạng dễ bị tổn thương (bao gồm cả Domain Controller) xác thực với các máy chủ dưới sự kiểm soát của kẻ tấn công, nâng cao đặc quyền để giành quyền kiểm soát hoàn toàn miền Windows.
Mặc dù vậy, NTLM vẫn được sử dụng trên các máy chủ Windows, cho phép kẻ tấn công khai thác các lỗ hổng như ShadowCoerce, DFSCoerce, PetitPotam và RemotePotato0, được thiết kế để vượt qua các biện pháp giảm nhẹ tấn công NTLM Relay.
NTLM cũng là mục tiêu của các cuộc tấn công Pass-The-Hash, trong đó tội phạm mạng khai thác lỗ hổng hệ thống hoặc triển khai phần mềm độc hại để lấy hàm băm NTLM, đại diện cho mật khẩu băm từ hệ thống được nhắm mục tiêu.
Sau khi sở hữu hàm băm, kẻ tấn công có thể sử dụng nó để xác thực là người dùng bị xâm nhập, từ đó có được quyền truy cập vào dữ liệu nhạy cảm và di chuyển rộng rãi trên mạng.
Thông báo kế hoạch ngừng sử dụng NTLM
Các tính năng Kerberos mới sắp có trên Windows 11
Microsoft cho biết các nhà phát triển không nên sử dụng NTLM kể từ năm 2010 và đã khuyến nghị quản trị viên Windows tắt NTLM hoặc cấu hình máy chủ của họ để chặn các cuộc tấn công NTLM Relay bằng dịch vụ Active Directory Certificate Services.
Hiện tại, Microsoft hiện đang nghiên cứu hai tính năng Kerberos mới, thứ nhất là IAKerb (Pass Through Authentication Using Kerberos), cho phép xác thực bằng Domain Controller thông qua máy chủ có quyền truy cập trực tiếp vào hệ thống.
“IAKerb dựa vào bảo mật sử dụng mật mã của Kerberos để bảo vệ các thông điệp truyền qua máy chủ nhằm ngăn chặn các cuộc tấn công Relay hoặc Replay. Loại proxy này hữu ích trong môi trường tường lửa được phân đoạn hoặc các trường hợp truy cập từ xa”, Microsoft giải thích.
Thứ hai là Local KDC (Key Distribution Center) đối với Kerberos, bổ sung hỗ trợ xác thực cho các tài khoản cục bộ. Tính năng này tận dụng IAKerb và Trình quản lý tài khoản bảo mật (SAM) để truyền thông điệp giữa các máy cục bộ từ xa mà không cần sử dụng DCLocator, NetLogon và DNS.
Nhà nghiên cứu Matthew Palko của Microsoft cho biết: “Local KDC được xây dựng dựa trên SAM để việc xác thực từ xa các tài khoản người dùng cục bộ có thể được thực hiện bằng Kerberos. Điều này thúc đẩy IAKerb cho phép Windows chuyển các thông điệp Kerberos giữa các máy cục bộ từ xa mà không cần phải thêm hỗ trợ cho các dịch vụ khác như DNS, netlogon hoặc DCLocator. IAKerb cũng không yêu cầu chúng tôi mở các cổng mới trên máy từ xa để chấp nhận các thông điệp Kerberos”.
Microsoft dự định giới thiệu hai tính năng Kerberos mới này trong Windows 11 để mở rộng phạm vi sử dụng và giải quyết hai thách thức quan trọng dẫn đến việc Kerberos chuyển sang NTLM.
Microsoft cải thiện việc quản lý NTLM
Microsoft cũng có kế hoạch mở rộng các biện pháp kiểm soát quản lý NTLM, cung cấp cho quản trị viên sự linh hoạt hơn trong việc giám sát và hạn chế việc sử dụng NTLM trong môi trường của họ.
Microsoft sẽ dần sửa đổi các thành phần Windows hiện có để thay thế NTLM bằng giao thức Negotiate. Hãng sẽ tiếp tục hỗ trợ NTLM như một cơ chế dự phòng để đảm bảo khả năng tương thích với các ứng dụng và dịch vụ cũ chưa được cập nhật. Microsoft cũng có kế hoạch cải thiện các biện pháp kiểm soát quản lý NTLM để giúp các tổ chức theo dõi việc sử dụng giao thức cũ trong môi trường của họ. Điều này cũng sẽ giúp quản trị viên công nghệ thông tin dễ dàng vô hiệu hóa NTLM cho một dịch vụ cụ thể.
Nhà nghiên cứu Palko cho biết: “Tất cả những thay đổi này sẽ được bật theo mặc định và sẽ không yêu cầu cấu hình trong hầu hết các trường hợp. NTLM sẽ tiếp tục có sẵn dưới dạng dự phòng để duy trì khả năng tương thích hiện có. Điều này sẽ dẫn đến việc NTLM bị vô hiệu hóa tương lai trong Windows 11. Chúng tôi đang thực hiện phương pháp tiếp cận dựa trên dữ liệu và giám sát việc giảm mức sử dụng NTLM để xác định khi nào nó sẽ an toàn để vô hiệu hóa”.
Các nhà nghiên cứu cho biết, trong thời gian chờ đợi, người dùng có thể sử dụng các biện pháp kiểm soát nâng cao mà Microsoft đang cung cấp để bắt đầu. Sau khi bị tắt theo mặc định, người dùng cũng sẽ có thể sử dụng các biện pháp kiểm soát này để kích hoạt lại NTLM vì lý do tương thích.
Phương Chi
08:00 | 06/03/2024
13:00 | 20/09/2023
14:00 | 04/04/2023
09:00 | 20/08/2021
15:00 | 19/04/2024
Trong kỷ nguyên số, các doanh nghiệp đang đối mặt với các thách thức lớn về rủi ro mất an toàn thông tin. Vì vậy việc bảo đảm an toàn thông tin, dữ liệu cho doanh nghiệp, tổ chức và xác định, đánh giá, kiểm soát các rủi ro liên quan để bảo vệ thông tin một cách hiệu quả là chủ đề được các chuyên gia, doanh nghiệp chia sẻ tại Hội thảo: “ISO/IEC 27001 - An toàn thông tin và bảo vệ quyền riêng tư đối với doanh nghiệp trong kỷ nguyên số” diễn ra vào ngày 16/4 tại TP. Hồ Chí Minh vừa qua.
07:00 | 29/03/2024
Chiều 26/3, tại Hà Nội, Quân ủy Trung ương, Bộ Quốc phòng tổ chức tuyên dương Gương mặt trẻ tiêu biểu, Gương mặt trẻ triển vọng toàn quân năm 2023. Đại tướng Lương Cường, Ủy viên Bộ Chính trị, Ủy viên Thường vụ Quân ủy Trung ương, Chủ nhiệm Tổng cục Chính trị Quân đội nhân dân (QĐND) Việt Nam đã tới dự và phát biểu tại chương trình.
09:00 | 28/03/2024
Trong thông báo mới nhất gửi đến nhà đầu tư chiều ngày 27/3, chứng khoán VNDirect cho biết hệ thống đã được khôi phục và đang tiến hành rà soát, đánh giá hệ thống để đảm bảo tuyệt đối về an toàn an ninh cho khách hàng giao dịch tại công ty.
14:00 | 25/03/2024
Sáng 25/3, tại Hà Nội, Đại tướng Phan Văn Giang, Ủy viên Bộ Chính trị, Phó bí thư Quân ủy Trung ương, Bộ trưởng Bộ Quốc phòng đã có buổi làm việc với Ban Cơ yếu Chính phủ.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024