Tính năng bảo mật mới
Điều này sẽ sửa đổi cách tiếp cận cũ trong đó các phiên đàm phán (Negotiate authentication) Kerberos và NTLM (tức là LM, NTLM và NTLMv2) với máy chủ đích sẽ được hỗ trợ bởi Windows SPNEGO.
Khi kết nối với chia sẻ SMB từ xa, Windows sẽ cố gắng đàm phán xác thực với máy tính từ xa bằng cách thực hiện phản hồi thách thức NTLM (NTLM challenge). Tuy nhiên, phản hồi thách thức NTLM này sẽ chứa mật khẩu băm của người dùng đã đăng nhập đang cố mở chia sẻ SMB, sau đó máy chủ lưu trữ chia sẻ có thể nắm bắt được mật khẩu này. Sau đó, các giá trị băm này có thể bị để lấy lại mật khẩu văn bản gốc hoặc được sử dụng trong các cuộc tấn công NTLM Relay và pass-the-hash để đăng nhập với tư cách người dùng. Tính năng mới cho phép quản trị viên chặn NTLM gửi đi qua SMB, ngăn mật khẩu của người dùng được gửi đến máy chủ từ xa, vì thế ngăn ngừa hiệu quả các kiểu tấn công này.
Chính sách trong Group Policy chặn SMB NTLM
Hai nhà nghiên cứu Amanda Langowski và Brandon LeBlanc của Microsoft giải thích: “Với tùy chọn mới này, quản trị viên có thể tùy chỉnh để chặn cung cấp NTLM thông qua SMB. Kẻ tấn công đánh lừa người dùng hoặc ứng dụng gửi phản hồi thách thức NTLM đến máy chủ độc hại sẽ không còn nhận được bất kỳ dữ liệu NTLM nào và không thể dùng phương pháp brute-force, bẻ khóa hoặc vượt qua mật khẩu vì chúng sẽ không bao giờ được gửi qua mạng”.
Lớp bảo mật bổ sung này giúp loại bỏ nhu cầu tắt hoàn toàn việc sử dụng NTLM trong hệ điều hành. Bắt đầu với Insider Preview Build 25951, quản trị viên có thể cấu hình Windows để chặn gửi dữ liệu NTLM qua SMB trên các kết nối gửi đi từ xa bằng Group Policy và PowerShell. Ngoài ra, quản trị viên cũng có thể tắt hoàn toàn việc sử dụng NTLM trong các kết nối SMB bằng NET USE và PowerShell.
Ned Pyle, Giám đốc ứng dụng trong nhóm kỹ thuật về Windows Server cho biết: “Bản phát hành Windows Insider sau này sẽ cho phép quản trị viên kiểm soát việc chặn SMB NTLM đối với các máy chủ cụ thể bằng danh sách cho phép. Các máy khách sẽ có thể chỉ định máy chủ cụ thể bằng danh sách cho phép. Các máy khách sẽ có thể chỉ định máy chủ SMB chỉ hỗ trợ NTLM - với tư cách là thành viên không thuộc domain hoặc sản phẩm của bên thứ ba và cho phép kết nối”.
Một tùy chọn mới khác có sẵn khi bắt đầu bản dựng này là quản lý phương ngữ (dialect management) SMB, cho phép quản trị viên chặn các thiết bị Windows cũ hơn và không kết nối an toàn bằng cách tắt việc sử dụng các giao thức SMB cũ trong tổ chức của họ.
Tùy chọn quản lý phương ngữ SMB
Ký số SMB để ngăn chặn các cuộc tấn công
Với việc phát hành Windows 11 Insider Preview Build 25381 cho Canary Channel, Microsoft cũng bắt đầu yêu cầu ký số SMB (còn gọi là chữ ký bảo mật) theo mặc định cho tất cả các kết nối để chống lại các cuộc tấn công NTLM relay. Trong các cuộc tấn công này, tác nhân độc hại buộc các thiết bị mạng, bao gồm cả domain controller xác thực với các máy chủ của chúng để giành quyền kiểm soát hoàn toàn domain Windows bằng cách mạo danh chúng.
Ký số SMB là một cơ chế bảo mật SMB đóng vai trò quan trọng trong việc ngăn chặn các yêu cầu xác thực độc hại bằng cách xác minh danh tính của người gửi và người nhận thông qua việc sử dụng chữ ký nhúng và hàm băm được thêm vào mỗi tin nhắn. Nó đã có sẵn bắt đầu từ Windows 98 và 2000, đồng thời đã được cập nhật trong Windows 11 và Windows Server 2022 để cải thiện khả năng bảo vệ và hiệu suất bằng cách tăng tốc đáng kể tốc độ mã hóa dữ liệu.
Trước đó, vào tháng 4/2022, đã thực hiện một bước tiến quan trọng khi công bố giai đoạn cuối cùng của việc vô hiệu hóa giao thức chia sẻ tệp SMB1 trong Windows dành cho Windows 11 Home Insiders. Tiếp theo, Microsoft cũng đã công bố các biện pháp phòng thủ nâng cao để chống lại các cuộc tấn công brute-force vào 5 tháng sau đó, giới thiệu bộ giới hạn tốc độ (rate limiter) xác thực SMB được thiết kế để giảm thiểu tác động của những nỗ lực xác thực NTLM gửi đến không thành công.
Hồng Đạt
(Theo Bleepingcomputer)
09:00 | 16/10/2023
14:00 | 04/04/2023
14:00 | 24/10/2023
14:00 | 03/03/2022
14:00 | 06/02/2020
09:00 | 03/05/2024
Ngày 16/4, nhà sản xuất linh kiện bán dẫn tích hợp đa quốc gia AMD đã giới thiệu chip mới mới dành cho máy tính xách tay và máy tính để bàn hỗ trợ trí tuệ nhân tạo (AI), khi các nhà thiết kế chip này tìm cách mở rộng thị phần của mình trên thị trường máy tính sử dụng AI (PC AI).
10:00 | 24/04/2024
Telegram đã sửa một lỗ hổng zero-day trong ứng dụng máy tính để bàn Windows có thể được sử dụng để vượt qua (bypass) các cảnh báo bảo mật và tự động khởi chạy các tập lệnh Python.
09:00 | 19/03/2024
Vừa qua, nhà phân phối giải pháp và dịch vụ an toàn, an ninh mạng Mi2 JSC đã chính thức trở thành hội viên của Hiệp hội An ninh mạng quốc gia. Đây là bước tiến quan trọng đánh dấu cam kết của Mi2 trong việc góp phần bảo vệ an ninh mạng quốc gia và nâng cao vị thế của Công ty trên thị trường.
16:00 | 13/03/2024
Ngày 12/3, gã khổng lồ công nghệ Microsoft phát hành bản vá bảo mật Patch Tuesday tháng 3 để giải quyết 60 lỗ hổng. Đáng lưu ý, trong đó có 18 lỗ hổng thực thi mã từ xa (RCE).
Là một trong những nhà cung cấp các sản phẩm và giải pháp an ninh mạng đầu tiên ký cam kết Bảo mật theo Thiết kế của Cơ quan An ninh mạng và Cơ sở hạ tầng An ninh Nội địa (CISA) của Mỹ, Fortinet tiếp tục củng cố cam kết duy trì văn hóa minh bạch triệt để và chịu trách nhiệm với an ninh của các tổ chức, doanh nghiệp, luôn xem đây là ưu tiên hàng đầu của hãng.
09:00 | 15/05/2024