Tính năng bảo mật mới
Điều này sẽ sửa đổi cách tiếp cận cũ trong đó các phiên đàm phán xác thực (Negotiate authentication) Kerberos và NTLM (tức là LM, NTLM và NTLMv2) với máy chủ đích sẽ được hỗ trợ bởi Windows SPNEGO.
Khi kết nối với chia sẻ SMB từ xa, Windows sẽ cố gắng đàm phán xác thực với máy tính từ xa bằng cách thực hiện phản hồi thách thức NTLM (NTLM challenge). Tuy nhiên, phản hồi thách thức NTLM này sẽ chứa mật khẩu băm của người dùng đã đăng nhập đang cố mở chia sẻ SMB, sau đó máy chủ lưu trữ chia sẻ có thể nắm bắt được mật khẩu này. Sau đó, các giá trị băm này có thể bị bẻ khóa để lấy lại mật khẩu văn bản gốc hoặc được sử dụng trong các cuộc tấn công NTLM Relay và pass-the-hash để đăng nhập với tư cách người dùng. Tính năng mới cho phép quản trị viên chặn NTLM gửi đi qua SMB, ngăn mật khẩu băm của người dùng được gửi đến máy chủ từ xa, vì thế ngăn ngừa hiệu quả các kiểu tấn công này.
Chính sách trong Group Policy chặn SMB NTLM
Hai nhà nghiên cứu Amanda Langowski và Brandon LeBlanc của Microsoft giải thích: “Với tùy chọn mới này, quản trị viên có thể tùy chỉnh để chặn Windows cung cấp NTLM thông qua SMB. Kẻ tấn công đánh lừa người dùng hoặc ứng dụng gửi phản hồi thách thức NTLM đến máy chủ độc hại sẽ không còn nhận được bất kỳ dữ liệu NTLM nào và không thể dùng phương pháp brute-force, bẻ khóa hoặc vượt qua mật khẩu vì chúng sẽ không bao giờ được gửi qua mạng”.
Lớp bảo mật bổ sung này giúp loại bỏ nhu cầu tắt hoàn toàn việc sử dụng NTLM trong hệ điều hành. Bắt đầu với Windows 11 Insider Preview Build 25951, quản trị viên có thể cấu hình Windows để chặn gửi dữ liệu NTLM qua SMB trên các kết nối gửi đi từ xa bằng Group Policy và PowerShell. Ngoài ra, quản trị viên cũng có thể tắt hoàn toàn việc sử dụng NTLM trong các kết nối SMB bằng NET USE và PowerShell.
Ned Pyle, Giám đốc ứng dụng trong nhóm kỹ thuật về Windows Server cho biết: “Bản phát hành Windows Insider sau này sẽ cho phép quản trị viên kiểm soát việc chặn SMB NTLM đối với các máy chủ cụ thể bằng danh sách cho phép. Các máy khách sẽ có thể chỉ định máy chủ cụ thể bằng danh sách cho phép. Các máy khách sẽ có thể chỉ định máy chủ SMB chỉ hỗ trợ NTLM - với tư cách là thành viên không thuộc domain hoặc sản phẩm của bên thứ ba và cho phép kết nối”.
Một tùy chọn mới khác có sẵn khi bắt đầu bản dựng này là quản lý phương ngữ (dialect management) SMB, cho phép quản trị viên chặn các thiết bị Windows cũ hơn và không kết nối an toàn bằng cách tắt việc sử dụng các giao thức SMB cũ trong tổ chức của họ.
Tùy chọn quản lý phương ngữ SMB
Ký số SMB để ngăn chặn các cuộc tấn công
Với việc phát hành Windows 11 Insider Preview Build 25381 cho Canary Channel, Microsoft cũng bắt đầu yêu cầu ký số SMB (còn gọi là chữ ký bảo mật) theo mặc định cho tất cả các kết nối để chống lại các cuộc tấn công NTLM relay. Trong các cuộc tấn công này, tác nhân độc hại buộc các thiết bị mạng, bao gồm cả domain controller xác thực với các máy chủ của chúng để giành quyền kiểm soát hoàn toàn domain Windows bằng cách mạo danh chúng.
Ký số SMB là một cơ chế bảo mật SMB đóng vai trò quan trọng trong việc ngăn chặn các yêu cầu xác thực độc hại bằng cách xác minh danh tính của người gửi và người nhận thông qua việc sử dụng chữ ký nhúng và hàm băm được thêm vào mỗi tin nhắn. Nó đã có sẵn bắt đầu từ Windows 98 và 2000, đồng thời đã được cập nhật trong Windows 11 và Windows Server 2022 để cải thiện khả năng bảo vệ và hiệu suất bằng cách tăng tốc đáng kể tốc độ mã hóa dữ liệu.
Trước đó, vào tháng 4/2022, Microsoft đã thực hiện một bước tiến quan trọng khi công bố giai đoạn cuối cùng của việc vô hiệu hóa giao thức chia sẻ tệp SMB1 trong Windows dành cho Windows 11 Home Insiders. Tiếp theo, Microsoft cũng đã công bố các biện pháp phòng thủ nâng cao để chống lại các cuộc tấn công brute-force vào 5 tháng sau đó, giới thiệu bộ giới hạn tốc độ (rate limiter) xác thực SMB được thiết kế để giảm thiểu tác động của những nỗ lực xác thực NTLM gửi đến không thành công.
Hồng Đạt
(Theo Bleepingcomputer)
09:00 | 16/10/2023
14:00 | 04/04/2023
14:00 | 24/10/2023
14:00 | 03/03/2022
14:00 | 06/02/2020
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
09:00 | 29/02/2024
Trong tháng 02/2024, Microsoft, Adobe và Dell lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
10:00 | 06/12/2023
Mặc dù Android là hệ điều hành phổ biến hiện nay, thế nhưng vẫn có một số tính năng có thể khiến điện thoại thông minh hoặc máy tính bảng của người dùng Android có nguy cơ bị lây nhiễm nghiêm trọng. Bài viết này đề cập đến ba tính năng trên Android có thể bị tin tặc khai thác khiến thiết bị dễ bị phần mềm độc hại tấn công, đồng thời đưa ra biện pháp giảm thiểu khi sử dụng chúng.
13:00 | 20/11/2023
Cradlepoint, công ty hàng đầu thế giới về các giải pháp kết nối biên không dây 5G và LTE được quản lý trên đám mây đã công bố giải pháp Biên dịch vụ truy cập an toàn (Secure Access Service Edge - SASE) được tối ưu hóa cho 5G vào cuối tháng 7/2023. 5G SASE của Cradlepoint được thiết kế cho các loại hình doanh nghiệp và được xây dựng có mục đích triển khai mạng diện rộng (WAN) không dây. Việc triển khai theo từng giai đoạn giải pháp 5G SASE sẽ cho phép các doanh nghiệp tạo môi trường SD-WAN và không dây kết hợp nhằm tối ưu hóa tính khả dụng, chất lượng dịch vụ và bảo mật cho các vị trí biên, phân tán và di động.
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024