Giao thức NTLM
NTLM là bộ giao thức bảo mật của Microsoft được thiết kế để cung cấp tính năng xác thực, toàn vẹn và bảo mật cho người dùng cuối. Giao thức này sử dụng cơ chế challenge-response để xác thực. Máy chủ gửi một challenge đến máy khách, được mã hóa bằng mật khẩu của người dùng và response sau đó sẽ được trả về máy chủ.
Về cơ bản, Kerberos được coi là cơ chế xác thực an toàn và hiện đại hơn. Tuy nhiên, NTLM vẫn phổ biến và có nhiều ưu điểm so với Kerberos. Chẳng hạn, nó không yêu cầu kết nối mạng cục bộ với Bộ điều khiển miền (Domain Controller) và loại bỏ nhu cầu biết danh tính của máy chủ mục tiêu.
Để tận dụng những lợi ích này, các nhà phát triển mã hóa NTLM vào ứng dụng và dịch vụ của họ. Điều đó nói lên rằng, có nhiều lỗ hổng khác nhau liên quan đến NTLM có thể dẫn đến các cuộc tấn công Pass-the-hash hoặc Relay. Microsoft khuyến nghị khách hàng nên chuyển sang các giải pháp bảo mật hơn như Kerberos để đảm bảo an ninh. Tuy nhiên, NTLM vẫn được sử dụng rộng rãi để hỗ trợ kế thừa và trong một số trường hợp không thể triển khai Kerberos. Nó cũng có thể phục vụ như một phương thức xác thực dự phòng khi Kerberos bị lỗi.
Cụ thể, các tác nhân đe dọa đã khai thác rộng rãi NTLM trong các cuộc tấn công NTLM Relay, trong đó chúng buộc các thiết bị mạng dễ bị tổn thương (bao gồm cả Domain Controller) xác thực với các máy chủ dưới sự kiểm soát của kẻ tấn công, nâng cao đặc quyền để giành quyền kiểm soát hoàn toàn miền Windows.
Mặc dù vậy, NTLM vẫn được sử dụng trên các máy chủ Windows, cho phép kẻ tấn công khai thác các lỗ hổng như ShadowCoerce, DFSCoerce, PetitPotam và RemotePotato0, được thiết kế để vượt qua các biện pháp giảm nhẹ tấn công NTLM Relay.
NTLM cũng là mục tiêu của các cuộc tấn công Pass-The-Hash, trong đó tội phạm mạng khai thác lỗ hổng hệ thống hoặc triển khai phần mềm độc hại để lấy hàm băm NTLM, đại diện cho mật khẩu băm từ hệ thống được nhắm mục tiêu.
Sau khi sở hữu hàm băm, kẻ tấn công có thể sử dụng nó để xác thực là người dùng bị xâm nhập, từ đó có được quyền truy cập vào dữ liệu nhạy cảm và di chuyển rộng rãi trên mạng.
Thông báo kế hoạch ngừng sử dụng NTLM
Các tính năng Kerberos mới sắp có trên Windows 11
Microsoft cho biết các nhà phát triển không nên sử dụng NTLM kể từ năm 2010 và đã khuyến nghị quản trị viên Windows tắt NTLM hoặc cấu hình máy chủ của họ để chặn các cuộc tấn công NTLM Relay bằng dịch vụ Active Directory Certificate Services.
Hiện tại, Microsoft hiện đang nghiên cứu hai tính năng Kerberos mới, thứ nhất là IAKerb (Pass Through Authentication Using Kerberos), cho phép xác thực bằng Domain Controller thông qua máy chủ có quyền truy cập trực tiếp vào hệ thống.
“IAKerb dựa vào bảo mật sử dụng mật mã của Kerberos để bảo vệ các thông điệp truyền qua máy chủ nhằm ngăn chặn các cuộc tấn công Relay hoặc Replay. Loại proxy này hữu ích trong môi trường tường lửa được phân đoạn hoặc các trường hợp truy cập từ xa”, Microsoft giải thích.
Thứ hai là Local KDC (Key Distribution Center) đối với Kerberos, bổ sung hỗ trợ xác thực cho các tài khoản cục bộ. Tính năng này tận dụng IAKerb và Trình quản lý tài khoản bảo mật (SAM) để truyền thông điệp giữa các máy cục bộ từ xa mà không cần sử dụng DCLocator, NetLogon và DNS.
Nhà nghiên cứu Matthew Palko của Microsoft cho biết: “Local KDC được xây dựng dựa trên SAM để việc xác thực từ xa các tài khoản người dùng cục bộ có thể được thực hiện bằng Kerberos. Điều này thúc đẩy IAKerb cho phép Windows chuyển các thông điệp Kerberos giữa các máy cục bộ từ xa mà không cần phải thêm hỗ trợ cho các dịch vụ khác như DNS, netlogon hoặc DCLocator. IAKerb cũng không yêu cầu chúng tôi mở các cổng mới trên máy từ xa để chấp nhận các thông điệp Kerberos”.
Microsoft dự định giới thiệu hai tính năng Kerberos mới này trong Windows 11 để mở rộng phạm vi sử dụng và giải quyết hai thách thức quan trọng dẫn đến việc Kerberos chuyển sang NTLM.
Microsoft cải thiện việc quản lý NTLM
Microsoft cũng có kế hoạch mở rộng các biện pháp kiểm soát quản lý NTLM, cung cấp cho quản trị viên sự linh hoạt hơn trong việc giám sát và hạn chế việc sử dụng NTLM trong môi trường của họ.
Microsoft sẽ dần sửa đổi các thành phần Windows hiện có để thay thế NTLM bằng giao thức Negotiate. Hãng sẽ tiếp tục hỗ trợ NTLM như một cơ chế dự phòng để đảm bảo khả năng tương thích với các ứng dụng và dịch vụ cũ chưa được cập nhật. Microsoft cũng có kế hoạch cải thiện các biện pháp kiểm soát quản lý NTLM để giúp các tổ chức theo dõi việc sử dụng giao thức cũ trong môi trường của họ. Điều này cũng sẽ giúp quản trị viên công nghệ thông tin dễ dàng vô hiệu hóa NTLM cho một dịch vụ cụ thể.
Nhà nghiên cứu Palko cho biết: “Tất cả những thay đổi này sẽ được bật theo mặc định và sẽ không yêu cầu cấu hình trong hầu hết các trường hợp. NTLM sẽ tiếp tục có sẵn dưới dạng dự phòng để duy trì khả năng tương thích hiện có. Điều này sẽ dẫn đến việc NTLM bị vô hiệu hóa tương lai trong Windows 11. Chúng tôi đang thực hiện phương pháp tiếp cận dựa trên dữ liệu và giám sát việc giảm mức sử dụng NTLM để xác định khi nào nó sẽ an toàn để vô hiệu hóa”.
Các nhà nghiên cứu cho biết, trong thời gian chờ đợi, người dùng có thể sử dụng các biện pháp kiểm soát nâng cao mà Microsoft đang cung cấp để bắt đầu. Sau khi bị tắt theo mặc định, người dùng cũng sẽ có thể sử dụng các biện pháp kiểm soát này để kích hoạt lại NTLM vì lý do tương thích.
Phương Chi
08:00 | 06/03/2024
13:00 | 20/09/2023
14:00 | 04/04/2023
09:00 | 20/08/2021
15:00 | 04/04/2024
Chính quyền Đức đã tuyên bố đánh sập một thị trường ngầm bất hợp pháp có tên Nemesis Market chuyên buôn bán các mặt hàng như ma túy, dữ liệu bị đánh cắp và các dịch vụ tội phạm mạng khác.
10:00 | 28/03/2024
Một công dân Trung Quốc và là cựu kỹ sư phần mềm Google đã bị truy tố vì bị cáo buộc đánh cắp các tập tin nhạy cảm và bí mật thương mại liên quan đến công nghệ AI của Google.
10:00 | 01/03/2024
Trong tháng 3 này, các đoàn thể của Tạp chí An toàn thông tin sẽ đồng hành cùng Đội sinh viên làm Công tác xã hội (Đội SVLCTXH) trường Đại học Khoa học Xã hội và Nhân văn - ĐHQG Hà Nội tổ chức Chiến dịch Đông ấm 2023 - Xuân tình nguyện 2024 “Khơi nguồn yêu thương” nhằm xây dựng giếng nước giúp đỡ 117 em học sinh tại điểm Trường Mầm non Phú Xuân, xã Phú Xuân, huyện Quan Hóa, tỉnh Thanh Hóa.
08:00 | 10/02/2024
Cuộc Cách mạng công nghiệp lần thứ 4 đang diễn ra hết sức mạnh mẽ, các công nghệ mới đang phát triển với tốc độ chưa từng thấy trên tất cả các lĩnh vực. Từ điện toán lượng tử, nhà thông minh, xe tự hành, trợ lý ảo,… những công nghệ mới nổi này đang dần thay đổi cách chúng ta sống và làm việc. Trong bài viết này, tác giả sẽ đưa ra dự báo về 10 xu hướng công nghệ mới nổi đáng chú ý, dự kiến sẽ tạo ra những tác động đáng kể vào năm 2024 dựa trên tiềm năng của từng công nghệ, tình trạng phát triển hiện tại và những tác động mà nó có thể mang lại đối với các ngành nghề và lĩnh vực khác nhau.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024
