Tính năng bảo mật mới
Điều này sẽ sửa đổi cách tiếp cận cũ trong đó các phiên đàm phán xác thực (Negotiate authentication) Kerberos và NTLM (tức là LM, NTLM và NTLMv2) với máy chủ đích sẽ được hỗ trợ bởi Windows SPNEGO.
Khi kết nối với chia sẻ SMB từ xa, Windows sẽ cố gắng đàm phán xác thực với máy tính từ xa bằng cách thực hiện phản hồi thách thức NTLM (NTLM challenge). Tuy nhiên, phản hồi thách thức NTLM này sẽ chứa mật khẩu băm của người dùng đã đăng nhập đang cố mở chia sẻ SMB, sau đó máy chủ lưu trữ chia sẻ có thể nắm bắt được mật khẩu này. Sau đó, các giá trị băm này có thể bị bẻ khóa để lấy lại mật khẩu văn bản gốc hoặc được sử dụng trong các cuộc tấn công NTLM Relay và pass-the-hash để đăng nhập với tư cách người dùng. Tính năng mới cho phép quản trị viên chặn NTLM gửi đi qua SMB, ngăn mật khẩu băm của người dùng được gửi đến máy chủ từ xa, vì thế ngăn ngừa hiệu quả các kiểu tấn công này.
Chính sách trong Group Policy chặn SMB NTLM
Hai nhà nghiên cứu Amanda Langowski và Brandon LeBlanc của Microsoft giải thích: “Với tùy chọn mới này, quản trị viên có thể tùy chỉnh để chặn Windows cung cấp NTLM thông qua SMB. Kẻ tấn công đánh lừa người dùng hoặc ứng dụng gửi phản hồi thách thức NTLM đến máy chủ độc hại sẽ không còn nhận được bất kỳ dữ liệu NTLM nào và không thể dùng phương pháp brute-force, bẻ khóa hoặc vượt qua mật khẩu vì chúng sẽ không bao giờ được gửi qua mạng”.
Lớp bảo mật bổ sung này giúp loại bỏ nhu cầu tắt hoàn toàn việc sử dụng NTLM trong hệ điều hành. Bắt đầu với Windows 11 Insider Preview Build 25951, quản trị viên có thể cấu hình Windows để chặn gửi dữ liệu NTLM qua SMB trên các kết nối gửi đi từ xa bằng Group Policy và PowerShell. Ngoài ra, quản trị viên cũng có thể tắt hoàn toàn việc sử dụng NTLM trong các kết nối SMB bằng NET USE và PowerShell.
Ned Pyle, Giám đốc ứng dụng trong nhóm kỹ thuật về Windows Server cho biết: “Bản phát hành Windows Insider sau này sẽ cho phép quản trị viên kiểm soát việc chặn SMB NTLM đối với các máy chủ cụ thể bằng danh sách cho phép. Các máy khách sẽ có thể chỉ định máy chủ cụ thể bằng danh sách cho phép. Các máy khách sẽ có thể chỉ định máy chủ SMB chỉ hỗ trợ NTLM - với tư cách là thành viên không thuộc domain hoặc sản phẩm của bên thứ ba và cho phép kết nối”.
Một tùy chọn mới khác có sẵn khi bắt đầu bản dựng này là quản lý phương ngữ (dialect management) SMB, cho phép quản trị viên chặn các thiết bị Windows cũ hơn và không kết nối an toàn bằng cách tắt việc sử dụng các giao thức SMB cũ trong tổ chức của họ.
Tùy chọn quản lý phương ngữ SMB
Ký số SMB để ngăn chặn các cuộc tấn công
Với việc phát hành Windows 11 Insider Preview Build 25381 cho Canary Channel, Microsoft cũng bắt đầu yêu cầu ký số SMB (còn gọi là chữ ký bảo mật) theo mặc định cho tất cả các kết nối để chống lại các cuộc tấn công NTLM relay. Trong các cuộc tấn công này, tác nhân độc hại buộc các thiết bị mạng, bao gồm cả domain controller xác thực với các máy chủ của chúng để giành quyền kiểm soát hoàn toàn domain Windows bằng cách mạo danh chúng.
Ký số SMB là một cơ chế bảo mật SMB đóng vai trò quan trọng trong việc ngăn chặn các yêu cầu xác thực độc hại bằng cách xác minh danh tính của người gửi và người nhận thông qua việc sử dụng chữ ký nhúng và hàm băm được thêm vào mỗi tin nhắn. Nó đã có sẵn bắt đầu từ Windows 98 và 2000, đồng thời đã được cập nhật trong Windows 11 và Windows Server 2022 để cải thiện khả năng bảo vệ và hiệu suất bằng cách tăng tốc đáng kể tốc độ mã hóa dữ liệu.
Trước đó, vào tháng 4/2022, Microsoft đã thực hiện một bước tiến quan trọng khi công bố giai đoạn cuối cùng của việc vô hiệu hóa giao thức chia sẻ tệp SMB1 trong Windows dành cho Windows 11 Home Insiders. Tiếp theo, Microsoft cũng đã công bố các biện pháp phòng thủ nâng cao để chống lại các cuộc tấn công brute-force vào 5 tháng sau đó, giới thiệu bộ giới hạn tốc độ (rate limiter) xác thực SMB được thiết kế để giảm thiểu tác động của những nỗ lực xác thực NTLM gửi đến không thành công.
Hồng Đạt
(Theo Bleepingcomputer)
09:00 | 16/10/2023
14:00 | 04/04/2023
14:00 | 24/10/2023
14:00 | 03/03/2022
14:00 | 06/02/2020
13:00 | 17/04/2024
Các chuyên gia của công ty bảo mật Bitdefender Labs (Hoa Kỳ) tiết lộ các lỗ hổng bảo mật nghiêm trọng của hơn 91.000 Tivi (TV) thông minh LG chạy nền tảng WebOS độc quyền của công ty. Nếu bị khai thác, lỗ hổng này có thể cho phép kẻ tấn công truy cập trái phép vào các chức năng của TV và có thể cả mạng gia đình của người dùng.
07:00 | 08/04/2024
Red Hat cảnh báo người dùng ngừng ngay lập tức việc sử dụng các hệ thống chạy phiên bản thử nghiệm và phát triển Fedora, vì một backdoor được tìm thấy trong các công cụ và thư viện nén dữ liệu mới nhất của XZ Utils (trước đó là LZMA Ultis).
09:00 | 04/04/2024
Ngày 18/3, phát biểu tại Hội nghị GPU Technology Conference - GTC 2024, ông Jensen Huang, Giám đốc điều hành Nvidia đã giới thiệu các sản phẩm mới của công ty, trong đó trình làng chip Blackwell có tốc độ xử lý AI nhanh hơn từ 7 đến 30 lần tùy tác vụ so với phiên bản Hopper H100, qua đó ngày càng khẳng định vị trí thống trị của nhà sản xuất chip trong lĩnh vực AI.
08:00 | 10/02/2024
Theo thống kê của Liên Hợp Quốc, các doanh nghiệp vừa và nhỏ (SMB) đóng góp 50% tổng sản phẩm quốc nội toàn cầu và tạo thành trục xương sống của nền kinh tế của nhiều quốc gia. Trong bối cảnh chịu ảnh hưởng nặng nề bởi đại dịch COVID-19 và căng thẳng địa chính trị, các doanh nghiệp SMB đã cùng lúc phải đối mặt với những khủng hoảng về kinh tế và đặc biệt là các cuộc tấn công mạng. Bài báo sẽ trình bày về các mối đe dọa an ninh mạng chính đối với các doanh nghiệp SMB trong nửa đầu năm 2023, đồng thời đưa ra những khuyến nghị về cách đảm bảo an toàn thông tin, dựa trên báo cáo của hãng bảo mật Kaspersky.
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024