Giao thức NTLM
NTLM là bộ giao thức bảo mật của Microsoft được thiết kế để cung cấp tính năng xác thực, toàn vẹn và bảo mật cho người dùng cuối. Giao thức này sử dụng cơ chế challenge-response để xác thực. Máy chủ gửi một challenge đến máy khách, được mã hóa bằng mật khẩu của người dùng và response sau đó sẽ được trả về máy chủ.
Về cơ bản, Kerberos được coi là cơ chế xác thực an toàn và hiện đại hơn. Tuy nhiên, NTLM vẫn phổ biến và có nhiều ưu điểm so với Kerberos. Chẳng hạn, nó không yêu cầu kết nối mạng cục bộ với Bộ điều khiển miền (Domain Controller) và loại bỏ nhu cầu biết danh tính của máy chủ mục tiêu.
Để tận dụng những lợi ích này, các nhà phát triển mã hóa NTLM vào ứng dụng và dịch vụ của họ. Điều đó nói lên rằng, có nhiều lỗ hổng khác nhau liên quan đến NTLM có thể dẫn đến các cuộc tấn công Pass-the-hash hoặc Relay. Microsoft khuyến nghị khách hàng nên chuyển sang các giải pháp bảo mật hơn như Kerberos để đảm bảo an ninh. Tuy nhiên, NTLM vẫn được sử dụng rộng rãi để hỗ trợ kế thừa và trong một số trường hợp không thể triển khai Kerberos. Nó cũng có thể phục vụ như một phương thức xác thực dự phòng khi Kerberos bị lỗi.
Cụ thể, các tác nhân đe dọa đã khai thác rộng rãi NTLM trong các cuộc tấn công NTLM Relay, trong đó chúng buộc các thiết bị mạng dễ bị tổn thương (bao gồm cả Domain Controller) xác thực với các máy chủ dưới sự kiểm soát của kẻ tấn công, nâng cao đặc quyền để giành quyền kiểm soát hoàn toàn miền Windows.
Mặc dù vậy, NTLM vẫn được sử dụng trên các máy chủ Windows, cho phép kẻ tấn công khai thác các lỗ hổng như ShadowCoerce, DFSCoerce, PetitPotam và RemotePotato0, được thiết kế để vượt qua các biện pháp giảm nhẹ tấn công NTLM Relay.
NTLM cũng là mục tiêu của các cuộc tấn công Pass-The-Hash, trong đó tội phạm mạng khai thác lỗ hổng hệ thống hoặc triển khai phần mềm độc hại để lấy hàm băm NTLM, đại diện cho mật khẩu băm từ hệ thống được nhắm mục tiêu.
Sau khi sở hữu hàm băm, kẻ tấn công có thể sử dụng nó để xác thực là người dùng bị xâm nhập, từ đó có được quyền truy cập vào dữ liệu nhạy cảm và di chuyển rộng rãi trên mạng.
Thông báo kế hoạch ngừng sử dụng NTLM
Các tính năng Kerberos mới sắp có trên Windows 11
Microsoft cho biết các nhà phát triển không nên sử dụng NTLM kể từ năm 2010 và đã khuyến nghị quản trị viên Windows tắt NTLM hoặc cấu hình máy chủ của họ để chặn các cuộc tấn công NTLM Relay bằng dịch vụ Active Directory Certificate Services.
Hiện tại, Microsoft hiện đang nghiên cứu hai tính năng Kerberos mới, thứ nhất là IAKerb (Pass Through Authentication Using Kerberos), cho phép xác thực bằng Domain Controller thông qua máy chủ có quyền truy cập trực tiếp vào hệ thống.
“IAKerb dựa vào bảo mật sử dụng mật mã của Kerberos để bảo vệ các thông điệp truyền qua máy chủ nhằm ngăn chặn các cuộc tấn công Relay hoặc Replay. Loại proxy này hữu ích trong môi trường tường lửa được phân đoạn hoặc các trường hợp truy cập từ xa”, Microsoft giải thích.
Thứ hai là Local KDC (Key Distribution Center) đối với Kerberos, bổ sung hỗ trợ xác thực cho các tài khoản cục bộ. Tính năng này tận dụng IAKerb và Trình quản lý tài khoản bảo mật (SAM) để truyền thông điệp giữa các máy cục bộ từ xa mà không cần sử dụng DCLocator, NetLogon và DNS.
Nhà nghiên cứu Matthew Palko của Microsoft cho biết: “Local KDC được xây dựng dựa trên SAM để việc xác thực từ xa các tài khoản người dùng cục bộ có thể được thực hiện bằng Kerberos. Điều này thúc đẩy IAKerb cho phép Windows chuyển các thông điệp Kerberos giữa các máy cục bộ từ xa mà không cần phải thêm hỗ trợ cho các dịch vụ khác như DNS, netlogon hoặc DCLocator. IAKerb cũng không yêu cầu chúng tôi mở các cổng mới trên máy từ xa để chấp nhận các thông điệp Kerberos”.
Microsoft dự định giới thiệu hai tính năng Kerberos mới này trong Windows 11 để mở rộng phạm vi sử dụng và giải quyết hai thách thức quan trọng dẫn đến việc Kerberos chuyển sang NTLM.
Microsoft cải thiện việc quản lý NTLM
Microsoft cũng có kế hoạch mở rộng các biện pháp kiểm soát quản lý NTLM, cung cấp cho quản trị viên sự linh hoạt hơn trong việc giám sát và hạn chế việc sử dụng NTLM trong môi trường của họ.
Microsoft sẽ dần sửa đổi các thành phần Windows hiện có để thay thế NTLM bằng giao thức Negotiate. Hãng sẽ tiếp tục hỗ trợ NTLM như một cơ chế dự phòng để đảm bảo khả năng tương thích với các ứng dụng và dịch vụ cũ chưa được cập nhật. Microsoft cũng có kế hoạch cải thiện các biện pháp kiểm soát quản lý NTLM để giúp các tổ chức theo dõi việc sử dụng giao thức cũ trong môi trường của họ. Điều này cũng sẽ giúp quản trị viên công nghệ thông tin dễ dàng vô hiệu hóa NTLM cho một dịch vụ cụ thể.
Nhà nghiên cứu Palko cho biết: “Tất cả những thay đổi này sẽ được bật theo mặc định và sẽ không yêu cầu cấu hình trong hầu hết các trường hợp. NTLM sẽ tiếp tục có sẵn dưới dạng dự phòng để duy trì khả năng tương thích hiện có. Điều này sẽ dẫn đến việc NTLM bị vô hiệu hóa tương lai trong Windows 11. Chúng tôi đang thực hiện phương pháp tiếp cận dựa trên dữ liệu và giám sát việc giảm mức sử dụng NTLM để xác định khi nào nó sẽ an toàn để vô hiệu hóa”.
Các nhà nghiên cứu cho biết, trong thời gian chờ đợi, người dùng có thể sử dụng các biện pháp kiểm soát nâng cao mà Microsoft đang cung cấp để bắt đầu. Sau khi bị tắt theo mặc định, người dùng cũng sẽ có thể sử dụng các biện pháp kiểm soát này để kích hoạt lại NTLM vì lý do tương thích.
Phương Chi
08:00 | 06/03/2024
13:00 | 20/09/2023
10:00 | 08/05/2024
14:00 | 04/04/2023
09:00 | 20/08/2021
14:00 | 02/10/2024
Cục An toàn thông tin (Bộ Thông tin và Truyền thông) cảnh báo hình thức lừa đảo mới thông qua Google Voice với người dùng Việt Nam.
16:00 | 27/09/2024
Chiều ngày 27/9, tại Hà Nội, Tạp chí An toàn thông tin đã tổ chức Hội nghị Hội đồng biên tập Ấn phẩm Khoa học và Công nghệ trong lĩnh vực an toàn thông tin. Đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ, Chủ tịch Hội đồng biên tập Ấn phẩm đã tham dự và chủ trì Hội nghị.
10:00 | 16/08/2024
Ngày 15/8, tại Hà Nội, Hội thảo "Tiêu chuẩn an ninh dữ liệu trong nước và Quốc tế: Nghị định 13 và PCI DSS" do CMC Cyber Security tổ chức đã diễn ra thành công tốt đẹp và thu hút sự tham gia đông đảo của các chuyên gia, lãnh đạo doanh nghiệp, đại diện các tổ chức và cơ quan quản lý nhà nước quan tâm đến lĩnh vực an ninh dữ liệu.
10:00 | 14/08/2024
Ngày 5/8, Thủ tướng Chính phủ đã ký quyết định về việc thành lập Ban Chỉ đạo quốc gia về phát triển ngành công nghiệp bán dẫn (Ban Chỉ đạo). Ban Chỉ đạo có chức năng giúp Chính phủ, Thủ tướng Chính phủ nghiên cứu, chỉ đạo, phối hợp giải quyết những công việc quan trọng, liên ngành liên quan đến thúc đẩy phát triển ngành công nghiệp bán dẫn tại Việt Nam.
Trong cuộc gặp với Tổng Bí thư, Chủ tịch nước Tô Lâm tại New York vào ngày 25/9, Tim Hughes, Phó Chủ tịch cấp cao của SpaceX, tập đoàn hàng đầu thế giới cung cấp dịch vụ tàu vũ trụ, phóng vệ tinh và truyền thông vệ tinh đã đánh giá cao tiềm năng phát triển dịch vụ Internet vệ tinh tại Việt Nam và cho biết dự định đầu tư 1,5 tỷ USD vào Việt Nam trong thời gian tới.
10:00 | 01/10/2024
Ngày 19/9/2024, tại Hà Nội, Chi hội Nhà báo Tạp chí An toàn thông tin đã tổ chức thành công Đại hội Chi hội nhiệm kỳ 2024 - 2027.
07:00 | 20/09/2024
Nhân dịp tham dự các hoạt động của Tuần lễ cấp cao Đại hội đồng Liên Hợp Quốc Khoá 79 và làm việc tại Hoa Kỳ, chiều 22/9 (theo giờ địa phương), tại New York, Tổng Bí thư, Chủ tịch nước Tô Lâm đã dự buổi tọa đàm với chủ đề Tăng cường hợp tác Việt Nam - Hoa Kỳ trong phát triển ngành công nghiệp bán dẫn và trí tuệ nhân tạo (AI).
09:00 | 01/10/2024