Microsoft ประกาศยุติการให้บริการ authentication ผ่าน NTLM บน Windows server อย่างเป็นทางการ โดยระบุว่าจะเปลี่ยนไปใช้การ authentication ผ่าน Kerberos หรือ Negotiation แทน เพื่อแก้ไขปัญหาการโจมตีผ่าน NTLM
New Technology LAN Manager หรือที่รู้จักกันดีในชื่อ NTLM เป็น authentication protocol ที่เปิดตัวครั้งแรกในปี 1993 โดยเป็นส่วนหนึ่งของ Windows NT 3.1 และเป็นตัวแทนของ LAN Manager (LM) protocol
โดย NTLM ได้ถูกใช้งานอย่างแพร่หลายจนถึงปัจจุบัน ซึ่ง Microsoft ประกาศว่า NTLM จะไม่ได้รับการพัฒนาอีกต่อไปในเดือนมิถุนายน 2024 และจะค่อย ๆ ยุติการใช้งานลง เพื่อรองรับทางเลือกอื่น ๆ ที่มีความปลอดภัยยิ่งขึ้น ภายในเดือนตุลาคม 2024 ซึ่ง Microsoft แนะนำให้ผู้ดูแลระบบทำการย้ายไปใช้ Kerberos authentication และระบบการ authentication อื่น ๆ เช่น Negotiate
เนื่องจาก NTLM มักถูกผู้ใช้งานนำไปใช้ในการโจมตีที่เรียกว่า 'NTLM Relay Attacks' ซึ่งจะทำให้ Windows domain controller ถูกเข้าควบคุม โดยการบังคับให้ทำการ authentication กับเซิร์ฟเวอร์ที่เป็นอันตราย แม้ว่า Microsoft จะมีการเปิดตัวมาตรการใหม่เพื่อป้องกันการโจมตีเหล่านั้น เช่น SMB security signing แต่การโจมตี NTLM ก็ยังคงเกิดขึ้น
ตัวอย่างการโจมตี เช่น การขโมย password hash และนำมาใช้ในการโจมตีแบบ "pass-the-hash", การโจมตีแบบฟิชชิ่ง และการดึงข้อมูลโดยตรงจาก Active Directory database หรือหน่วยความจำของเซิร์ฟเวอร์ รวมไปถึงผู้ใช้งานยังสามารถ crack password hash เพื่อทำให้ได้รหัสผ่านแบบ plaintext ของผู้ใช้ได้ เนื่องจากวิธีการเข้ารหัสที่ไม่ดีพอ
Microsoft จึงได้แนะนำให้เปลี่ยนไปใช้ protocol ที่มีความปลอดภัยกว่า เช่น Kerberos ที่มีการเข้ารหัสที่ดีกว่า
Ref: bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น