Tính năng bảo mật mới
Điều này sẽ sửa đổi cách tiếp cận cũ trong đó các phiên đàm phán xác thực (Negotiate authentication) Kerberos và NTLM (tức là LM, NTLM và NTLMv2) với máy chủ đích sẽ được hỗ trợ bởi Windows SPNEGO.
Khi kết nối với chia sẻ SMB từ xa, Windows sẽ cố gắng đàm phán xác thực với máy tính từ xa bằng cách thực hiện phản hồi thách thức NTLM (NTLM challenge). Tuy nhiên, phản hồi thách thức NTLM này sẽ chứa mật khẩu băm của người dùng đã đăng nhập đang cố mở chia sẻ SMB, sau đó máy chủ lưu trữ chia sẻ có thể nắm bắt được mật khẩu này. Sau đó, các giá trị băm này có thể bị bẻ khóa để lấy lại mật khẩu văn bản gốc hoặc được sử dụng trong các cuộc tấn công NTLM Relay và pass-the-hash để đăng nhập với tư cách người dùng. Tính năng mới cho phép quản trị viên chặn NTLM gửi đi qua SMB, ngăn mật khẩu băm của người dùng được gửi đến máy chủ từ xa, vì thế ngăn ngừa hiệu quả các kiểu tấn công này.
Chính sách trong Group Policy chặn SMB NTLM
Hai nhà nghiên cứu Amanda Langowski và Brandon LeBlanc của Microsoft giải thích: “Với tùy chọn mới này, quản trị viên có thể tùy chỉnh để chặn Windows cung cấp NTLM thông qua SMB. Kẻ tấn công đánh lừa người dùng hoặc ứng dụng gửi phản hồi thách thức NTLM đến máy chủ độc hại sẽ không còn nhận được bất kỳ dữ liệu NTLM nào và không thể dùng phương pháp brute-force, bẻ khóa hoặc vượt qua mật khẩu vì chúng sẽ không bao giờ được gửi qua mạng”.
Lớp bảo mật bổ sung này giúp loại bỏ nhu cầu tắt hoàn toàn việc sử dụng NTLM trong hệ điều hành. Bắt đầu với Windows 11 Insider Preview Build 25951, quản trị viên có thể cấu hình Windows để chặn gửi dữ liệu NTLM qua SMB trên các kết nối gửi đi từ xa bằng Group Policy và PowerShell. Ngoài ra, quản trị viên cũng có thể tắt hoàn toàn việc sử dụng NTLM trong các kết nối SMB bằng NET USE và PowerShell.
Ned Pyle, Giám đốc ứng dụng trong nhóm kỹ thuật về Windows Server cho biết: “Bản phát hành Windows Insider sau này sẽ cho phép quản trị viên kiểm soát việc chặn SMB NTLM đối với các máy chủ cụ thể bằng danh sách cho phép. Các máy khách sẽ có thể chỉ định máy chủ cụ thể bằng danh sách cho phép. Các máy khách sẽ có thể chỉ định máy chủ SMB chỉ hỗ trợ NTLM - với tư cách là thành viên không thuộc domain hoặc sản phẩm của bên thứ ba và cho phép kết nối”.
Một tùy chọn mới khác có sẵn khi bắt đầu bản dựng này là quản lý phương ngữ (dialect management) SMB, cho phép quản trị viên chặn các thiết bị Windows cũ hơn và không kết nối an toàn bằng cách tắt việc sử dụng các giao thức SMB cũ trong tổ chức của họ.
Tùy chọn quản lý phương ngữ SMB
Ký số SMB để ngăn chặn các cuộc tấn công
Với việc phát hành Windows 11 Insider Preview Build 25381 cho Canary Channel, Microsoft cũng bắt đầu yêu cầu ký số SMB (còn gọi là chữ ký bảo mật) theo mặc định cho tất cả các kết nối để chống lại các cuộc tấn công NTLM relay. Trong các cuộc tấn công này, tác nhân độc hại buộc các thiết bị mạng, bao gồm cả domain controller xác thực với các máy chủ của chúng để giành quyền kiểm soát hoàn toàn domain Windows bằng cách mạo danh chúng.
Ký số SMB là một cơ chế bảo mật SMB đóng vai trò quan trọng trong việc ngăn chặn các yêu cầu xác thực độc hại bằng cách xác minh danh tính của người gửi và người nhận thông qua việc sử dụng chữ ký nhúng và hàm băm được thêm vào mỗi tin nhắn. Nó đã có sẵn bắt đầu từ Windows 98 và 2000, đồng thời đã được cập nhật trong Windows 11 và Windows Server 2022 để cải thiện khả năng bảo vệ và hiệu suất bằng cách tăng tốc đáng kể tốc độ mã hóa dữ liệu.
Trước đó, vào tháng 4/2022, Microsoft đã thực hiện một bước tiến quan trọng khi công bố giai đoạn cuối cùng của việc vô hiệu hóa giao thức chia sẻ tệp SMB1 trong Windows dành cho Windows 11 Home Insiders. Tiếp theo, Microsoft cũng đã công bố các biện pháp phòng thủ nâng cao để chống lại các cuộc tấn công brute-force vào 5 tháng sau đó, giới thiệu bộ giới hạn tốc độ (rate limiter) xác thực SMB được thiết kế để giảm thiểu tác động của những nỗ lực xác thực NTLM gửi đến không thành công.
Hồng Đạt
(Theo Bleepingcomputer)
14:00 | 04/04/2023
14:00 | 24/10/2023
14:00 | 03/03/2022
09:00 | 16/10/2023
14:00 | 06/02/2020
10:00 | 04/10/2024
Kaspersky đang đối mặt với chỉ trích gay gắt sau khi bị phát hiện tự ý cài đặt phần mềm diệt virus khác lên máy tính của khách hàng tại Mỹ mà không thông báo trước.
16:00 | 31/08/2024
Juventus lựa chọn Kiến trúc bảo mật Security Fabric và danh mục sản phẩm mạng bảo mật của Fortinet nhằm đơn giản hóa quản lý và giúp phát hiện, giải quyết các vấn đề mạng và bảo mật khắp các cơ sở nổi tiếng thế giới của câu lạc bộ này.
13:00 | 01/08/2024
Một tính năng mới của Google Chrome mới được phát hành, về việc cảnh báo khi tải xuống các tệp được bảo vệ bằng mật khẩu có khả năng độc hại và cung cấp hệ thống cảnh báo cải tiến để tải xuống các tệp an toàn hơn.
13:00 | 17/06/2024
Google vừa phát hành các bản vá để giải quyết một lỗ hổng bảo mật nghiêm trọng trong trình duyệt Chrome bị khai thác thực tế. Đây là lỗ hổng type confusion có mã định danh CVE-2024-5274 trong JavaScript và WebAssembly V8.
Sự kiện Security Bootcamp 2024 diễn ra trong hai ngày 28 - 29/9 đã thu hút sự tham gia của đông đảo các chuyên gia, kỹ sư an ninh mạng hàng đầu và các lãnh đạo tổ chức, doanh nghiệp. Trong vai trò nhà tài trợ Bạc, Trellix cùng đồng tài trợ Mi2 JSC đã mang đến sự kiện những giải pháp bảo mật hiệu quả, tận dụng tối đa tiềm năng của AI trong bối cảnh trí tuệ nhân tạo đang phát triển như vũ bão.
16:00 | 04/10/2024