Giao thức NTLM

NTLM là bộ giao thức bảo mật của Microsoft được thiết kế để cung cấp tính năng xác thực, toàn vẹn và bảo mật cho người dùng cuối. Giao thức này sử dụng cơ chế challenge-response để xác thực. Máy chủ gửi một challenge đến máy khách, được mã hóa bằng mật khẩu của người dùng và response sau đó sẽ được trả về máy chủ.

Về cơ bản, Kerberos được coi là cơ chế xác thực an toàn và hiện đại hơn. Tuy nhiên, NTLM vẫn phổ biến và có nhiều ưu điểm so với Kerberos. Chẳng hạn, nó không yêu cầu kết nối mạng cục bộ với Bộ điều khiển miền (Domain Controller) và loại bỏ nhu cầu biết danh tính của máy chủ mục tiêu.

Để tận dụng những lợi ích này, các nhà phát triển mã hóa NTLM vào ứng dụng và dịch vụ của họ. Điều đó nói lên rằng, có nhiều lỗ hổng khác nhau liên quan đến NTLM có thể dẫn đến các cuộc tấn công Pass-the-hash hoặc Relay. Microsoft khuyến nghị khách hàng nên chuyển sang các giải pháp bảo mật hơn như Kerberos để đảm bảo an ninh. Tuy nhiên, NTLM vẫn được sử dụng rộng rãi để hỗ trợ kế thừa và trong một số trường hợp không thể triển khai Kerberos. Nó cũng có thể phục vụ như một phương thức xác thực dự phòng khi Kerberos bị lỗi.

Cụ thể, các tác nhân đe dọa đã khai thác rộng rãi NTLM trong các cuộc tấn công NTLM Relay, trong đó chúng buộc các thiết bị mạng dễ bị tổn thương (bao gồm cả Domain Controller) xác thực với các máy chủ dưới sự kiểm soát của kẻ tấn công, nâng cao đặc quyền để giành quyền kiểm soát hoàn toàn miền Windows.

Mặc dù vậy, NTLM vẫn được sử dụng trên các máy chủ Windows, cho phép kẻ tấn công khai thác các lỗ hổng như ShadowCoerce, DFSCoerce, PetitPotam và RemotePotato0, được thiết kế để vượt qua các biện pháp giảm nhẹ tấn công NTLM Relay.

NTLM cũng là mục tiêu của các cuộc tấn công Pass-The-Hash, trong đó tội phạm mạng khai thác lỗ hổng hệ thống hoặc triển khai phần mềm độc hại để lấy hàm băm NTLM, đại diện cho mật khẩu băm từ hệ thống được nhắm mục tiêu.

Sau khi sở hữu hàm băm, kẻ tấn công có thể sử dụng nó để xác thực là người dùng bị xâm nhập, từ đó có được quyền truy cập vào dữ liệu nhạy cảm và di chuyển rộng rãi trên mạng.

Thông báo kế hoạch ngừng sử dụng NTLM

Các tính năng Kerberos mới sắp có trên Windows 11

Microsoft cho biết các nhà phát triển không nên sử dụng NTLM kể từ năm 2010 và đã khuyến nghị quản trị viên Windows tắt NTLM hoặc cấu hình máy chủ của họ để chặn các cuộc tấn công NTLM Relay bằng dịch vụ Active Directory Certificate Services.

Hiện tại, Microsoft hiện đang nghiên cứu hai tính năng Kerberos mới, thứ nhất là IAKerb (Pass Through Authentication Using Kerberos), cho phép xác thực bằng Domain Controller thông qua máy chủ có quyền truy cập trực tiếp vào hệ thống.

“IAKerb dựa vào bảo mật sử dụng mật mã của Kerberos để bảo vệ các thông điệp truyền qua máy chủ nhằm ngăn chặn các cuộc tấn công Relay hoặc Replay. Loại proxy này hữu ích trong môi trường tường lửa được phân đoạn hoặc các trường hợp truy cập từ xa”, Microsoft giải thích.

Thứ hai là Local KDC (Key Distribution Center) đối với Kerberos, bổ sung hỗ trợ xác thực cho các tài khoản cục bộ. Tính năng này tận dụng IAKerb và Trình quản lý tài khoản bảo mật (SAM) để truyền thông điệp giữa các máy cục bộ từ xa mà không cần sử dụng DCLocator, NetLogon và DNS.

Nhà nghiên cứu Matthew Palko của Microsoft cho biết: “Local KDC được xây dựng dựa trên SAM để việc xác thực từ xa các tài khoản người dùng cục bộ có thể được thực hiện bằng Kerberos. Điều này thúc đẩy IAKerb cho phép Windows chuyển các thông điệp Kerberos giữa các máy cục bộ từ xa mà không cần phải thêm hỗ trợ cho các dịch vụ khác như DNS, netlogon hoặc DCLocator. IAKerb cũng không yêu cầu chúng tôi mở các cổng mới trên máy từ xa để chấp nhận các thông điệp Kerberos”.

Microsoft dự định giới thiệu hai tính năng Kerberos mới này trong Windows 11 để mở rộng phạm vi sử dụng và giải quyết hai thách thức quan trọng dẫn đến việc Kerberos chuyển sang NTLM.

Microsoft cải thiện việc quản lý NTLM

Microsoft cũng có kế hoạch mở rộng các biện pháp kiểm soát quản lý NTLM, cung cấp cho quản trị viên sự linh hoạt hơn trong việc giám sát và hạn chế việc sử dụng NTLM trong môi trường của họ.

Microsoft sẽ dần sửa đổi các thành phần Windows hiện có để thay thế NTLM bằng giao thức Negotiate. Hãng sẽ tiếp tục hỗ trợ NTLM như một cơ chế dự phòng để đảm bảo khả năng tương thích với các ứng dụng và dịch vụ cũ chưa được cập nhật. Microsoft cũng có kế hoạch cải thiện các biện pháp kiểm soát quản lý NTLM để giúp các tổ chức theo dõi việc sử dụng giao thức cũ trong môi trường của họ. Điều này cũng sẽ giúp quản trị viên công nghệ thông tin dễ dàng vô hiệu hóa NTLM cho một dịch vụ cụ thể.

Nhà nghiên cứu Palko cho biết: “Tất cả những thay đổi này sẽ được bật theo mặc định và sẽ không yêu cầu cấu hình trong hầu hết các trường hợp. NTLM sẽ tiếp tục có sẵn dưới dạng dự phòng để duy trì khả năng tương thích hiện có. Điều này sẽ dẫn đến việc NTLM bị vô hiệu hóa tương lai trong Windows 11. Chúng tôi đang thực hiện phương pháp tiếp cận dựa trên dữ liệu và giám sát việc giảm mức sử dụng NTLM để xác định khi nào nó sẽ an toàn để vô hiệu hóa”.

Các nhà nghiên cứu cho biết, trong thời gian chờ đợi, người dùng có thể sử dụng các biện pháp kiểm soát nâng cao mà Microsoft đang cung cấp để bắt đầu. Sau khi bị tắt theo mặc định, người dùng cũng sẽ có thể sử dụng các biện pháp kiểm soát này để kích hoạt lại NTLM vì lý do tương thích.