Tính năng bảo mật mới
Điều này sẽ sửa đổi cách tiếp cận cũ trong đó các phiên đàm phán xác thực (Negotiate authentication) Kerberos và NTLM (tức là LM, NTLM và NTLMv2) với máy chủ đích sẽ được hỗ trợ bởi Windows SPNEGO.
Khi kết nối với chia sẻ SMB từ xa, Windows sẽ cố gắng đàm phán xác thực với máy tính từ xa bằng cách thực hiện phản hồi thách thức NTLM (NTLM challenge). Tuy nhiên, phản hồi thách thức NTLM này sẽ chứa mật khẩu băm của người dùng đã đăng nhập đang cố mở chia sẻ SMB, sau đó máy chủ lưu trữ chia sẻ có thể nắm bắt được mật khẩu này. Sau đó, các giá trị băm này có thể bị bẻ khóa để lấy lại mật khẩu văn bản gốc hoặc được sử dụng trong các cuộc tấn công NTLM Relay và pass-the-hash để đăng nhập với tư cách người dùng. Tính năng mới cho phép quản trị viên chặn NTLM gửi đi qua SMB, ngăn mật khẩu băm của người dùng được gửi đến máy chủ từ xa, vì thế ngăn ngừa hiệu quả các kiểu tấn công này.
Chính sách trong Group Policy chặn SMB NTLM
Hai nhà nghiên cứu Amanda Langowski và Brandon LeBlanc của Microsoft giải thích: “Với tùy chọn mới này, quản trị viên có thể tùy chỉnh để chặn Windows cung cấp NTLM thông qua SMB. Kẻ tấn công đánh lừa người dùng hoặc ứng dụng gửi phản hồi thách thức NTLM đến máy chủ độc hại sẽ không còn nhận được bất kỳ dữ liệu NTLM nào và không thể dùng phương pháp brute-force, bẻ khóa hoặc vượt qua mật khẩu vì chúng sẽ không bao giờ được gửi qua mạng”.
Lớp bảo mật bổ sung này giúp loại bỏ nhu cầu tắt hoàn toàn việc sử dụng NTLM trong hệ điều hành. Bắt đầu với Windows 11 Insider Preview Build 25951, quản trị viên có thể cấu hình Windows để chặn gửi dữ liệu NTLM qua SMB trên các kết nối gửi đi từ xa bằng Group Policy và PowerShell. Ngoài ra, quản trị viên cũng có thể tắt hoàn toàn việc sử dụng NTLM trong các kết nối SMB bằng NET USE và PowerShell.
Ned Pyle, Giám đốc ứng dụng trong nhóm kỹ thuật về Windows Server cho biết: “Bản phát hành Windows Insider sau này sẽ cho phép quản trị viên kiểm soát việc chặn SMB NTLM đối với các máy chủ cụ thể bằng danh sách cho phép. Các máy khách sẽ có thể chỉ định máy chủ cụ thể bằng danh sách cho phép. Các máy khách sẽ có thể chỉ định máy chủ SMB chỉ hỗ trợ NTLM - với tư cách là thành viên không thuộc domain hoặc sản phẩm của bên thứ ba và cho phép kết nối”.
Một tùy chọn mới khác có sẵn khi bắt đầu bản dựng này là quản lý phương ngữ (dialect management) SMB, cho phép quản trị viên chặn các thiết bị Windows cũ hơn và không kết nối an toàn bằng cách tắt việc sử dụng các giao thức SMB cũ trong tổ chức của họ.
Tùy chọn quản lý phương ngữ SMB
Ký số SMB để ngăn chặn các cuộc tấn công
Với việc phát hành Windows 11 Insider Preview Build 25381 cho Canary Channel, Microsoft cũng bắt đầu yêu cầu ký số SMB (còn gọi là chữ ký bảo mật) theo mặc định cho tất cả các kết nối để chống lại các cuộc tấn công NTLM relay. Trong các cuộc tấn công này, tác nhân độc hại buộc các thiết bị mạng, bao gồm cả domain controller xác thực với các máy chủ của chúng để giành quyền kiểm soát hoàn toàn domain Windows bằng cách mạo danh chúng.
Ký số SMB là một cơ chế bảo mật SMB đóng vai trò quan trọng trong việc ngăn chặn các yêu cầu xác thực độc hại bằng cách xác minh danh tính của người gửi và người nhận thông qua việc sử dụng chữ ký nhúng và hàm băm được thêm vào mỗi tin nhắn. Nó đã có sẵn bắt đầu từ Windows 98 và 2000, đồng thời đã được cập nhật trong Windows 11 và Windows Server 2022 để cải thiện khả năng bảo vệ và hiệu suất bằng cách tăng tốc đáng kể tốc độ mã hóa dữ liệu.
Trước đó, vào tháng 4/2022, Microsoft đã thực hiện một bước tiến quan trọng khi công bố giai đoạn cuối cùng của việc vô hiệu hóa giao thức chia sẻ tệp SMB1 trong Windows dành cho Windows 11 Home Insiders. Tiếp theo, Microsoft cũng đã công bố các biện pháp phòng thủ nâng cao để chống lại các cuộc tấn công brute-force vào 5 tháng sau đó, giới thiệu bộ giới hạn tốc độ (rate limiter) xác thực SMB được thiết kế để giảm thiểu tác động của những nỗ lực xác thực NTLM gửi đến không thành công.
Hồng Đạt
(Theo Bleepingcomputer)
09:00 | 16/10/2023
14:00 | 04/04/2023
14:00 | 24/10/2023
14:00 | 03/03/2022
14:00 | 06/02/2020
10:00 | 10/04/2024
Các chuyên gia bảo mật vừa phát hiện 28 ứng dụng có chứa mã độc đã được cài đặt trên smartphone của hàng triệu người dùng. Nếu đã cài đặt một trong các ứng dụng này, hãy lập tức gỡ bỏ khỏi thiết bị.
13:00 | 05/04/2024
Các nhà phát triển ví tiền điện tử Leather cảnh báo về một ứng dụng giả mạo trên Apple App Store. Nguyên nhân bởi nhiều người dùng đã báo cáo rằng họ bị mất tiền sau khi nhập chuỗi bí mật vào ví Leather giả.
13:00 | 14/12/2023
Trước kia trẻ em thường chỉ chịu sự ảnh hưởng giáo dục, thông tin tại gia đình và nhà trường. Tuy nhiên với thời đại công nghệ hiện nay, trẻ em còn có sự tác động và thông tin từ môi trường Internet. Thế giới ảo đã và đang tác động mạnh mẽ đến trẻ em với những rủi ro như bị xâm hại tình dục, lộ, lọt thông tin cá nhân, tin giả, bắt nạt qua mạng.... Chính vì vậy, phụ huynh và giáo viên được coi là lực lượng tiên phong, cần hỗ trợ và bảo vệ các em bằng việc cung cấp những thông tin, kiến thức và cách thức nói chuyện cũng như các bài giảng slide hữu ích dành cho trẻ.
16:00 | 04/12/2023
Với mong muốn được góp sức vào sự phát triển cộng đồng, mang lại giá trị cho các tổ chức/doanh nghiệp trong ngành An toàn, an ninh thông tin, sáng ngày 30/11 vừa qua, Công ty Cổ phần Tin học Mi Mi (Mi2 JSC) đã đồng hành và tham dự Hội thảo - Triển lãm Ngày An toàn thông tin Việt Nam 2023. Sự kiện do Hiệp hội An toàn thông tin Việt Nam (VNISA) tổ chức với chủ đề “An toàn dữ liệu trong thời đại điện toán đám mây và trí tuệ nhân tạo”.
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024