Vá lỗi ngay các lỗ hổng nghiêm trọng trong giao thức bảo mật Windows NTLM

Microsoft đã phát hành bản vá lỗi bảo mật cho một lỗ hổng bảo mật đặc biệt nghiêm trọng có nguy cơ ảnh hưởng tới tất cả các phiên bản hệ điều hành Windows cho doanh nghiệp được phát hành từ năm 2007.

Các nhà nghiên cứu về hành vi Firewall Preempt đã phát hiện ra 2 lỗ hổng mới trong các giao thức bảo mật Windows NTLM, cả hai đều cho phép những kẻ tấn công tạo một tài khoản quản trị viên với tên domain (miền) mới và kiểm soát toàn bộ domain.

Xem thông tin chi tiết tại: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/f2b16606-4945-e711-80dc-000d3a32fc99

NT LAN Manager (NTLM) là một giao thức xác thực cũ được sử dụng trên các mạng - bao gồm các hệ thống chạy Windows và các hệ thống độc lập.

Mặc dù NTLM đã được thay thế bằng Kerberos trong Windows 2000 nhưng nó vẫn cung cấp bảo mật tốt hơn cho các hệ thống trên cùng một mạng nên vẫn được Microsoft hỗ trợ và được sử dụng rộng rãi.

Lỗ hổng đầu tiên liên quan đến Lightweight Directory Access Protocol (LDAP) không được bảo vệ trên NTLM và lỗ hổng thứ hai ảnh hưởng tới chế độ Remote Desktop Protocol (RDP) Restricted-Admin. Các lỗ hổng này khiến các kẻ tấn công dễ dàng thực hiện các hoạt động LDAP như cập nhật các đối tượng domain thay người dùng NTLM, truy cập các thông tin trái phép và cho phép kết nối với máy tính từ xa mà không cần cung cấp mật khẩu.

Trong một bài đăng trên blog, ông Yaron Zinar cho biết: "Để nhận ra vấn đề nghiêm trọng tới mức nào, chúng ta phải nhận biết được tất cả các giao thức Windows sử dụng Windows Authentication API (SSPI) cho phép hạ cấp phiên xác thực tới NTLM."

Theo các nhà nghiên cứu Preempt, RDP Restricted-Admin cho phép các hệ thống xác thực hạ cấp xuống NTLM. Nghĩa là các cuộc tấn công thực hiện với NTLM như chuyển tiếp thông tin xác thực và phá vỡ mật khẩu cũng có thể được thực hiện chống lại RDP Restricted-Admin.

Khi kết hợp với lỗ hổng LDAP, kẻ tấn công có thể tạo tài khoản admin domain giả khi admin kết nối với RDP Restricted-Admin và kiểm soát toàn bộ domain.

Microsoft cho hay: Một kẻ tấn công có thể khai thác lỗ hổng này bằng cách chạy một ứng dụng đặc biệt để gửi lưu lượng truy cập độc hại tới bộ điều khiển domain. Chúng ta có thể cập nhật các lỗ hổng này bằng cách kết hợp các cải tiến cho các giao thức xác thực được thiết kế để giảm thiểu các cuộc tấn công.

Vì thế, quản trị hệ thống được khuyến khích để vá các máy chủ dễ bị xâm nhập bằng cách kích hoạt NT LAN Manager càng sớm càng tốt.

Bên cạnh việc rò rỉ NTLM này, Microsoft cũng đã phát hành bản vá cho 55 lỗ hổng bảo mật, trong đó có 19 sản phẩm quan trọng gồm có Edge, Internet Explorer, Windows, Office, Office Services, Web Apps, .NET Framework và Exchange Server...

Người dùng Windows được khuyến cáo là nên cài đặt bản cập nhật mới nhất ngay để có thể bảo vệ bản thân trong các cuộc tấn công đang diễn ra.