Microsoft ระบุว่า SMB signing (หรือถูกเรียกอีกอย่างว่า security signatures) จะเป็นค่าเริ่มต้นสำหรับการเชื่อมต่อทั้งหมดใน Windows 11 เพื่อป้องกันการโจมตีแบบ NTLM relay attack โดยจะเริ่มตั้งแต่ Windows build (รุ่น Enterprise) ที่ประกาศออกมาในวันนี้เป็นต้นไป โดยจะมีการปรับปรุงให้กับผู้ทดสอบภายในช่องทาง Canary Channel ก่อนเปิดให้ใช้งานทั่วไป
ในการโจมตีดังกล่าว ผู้ไม่หวังดีจะบังคับให้อุปกรณ์เครือข่าย (รวมถึง domain controllers) ตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ที่เป็นอันตรายซึ่งอยู่ในการควบคุมของผู้โจมตี เพื่อปลอมเป็นอุปกรณ์เหล่านั้น และเพิ่มสิทธิ์เพื่อให้สามารถเข้าควบคุมโดเมนบน Windows ได้อย่างสมบูรณ์
Microsoft ระบุว่า "การเปลี่ยนแปลงในครั้งนี้ จะเปลี่ยนแปลงวิธีการเก่าของ Windows 10 และ 11 ที่จำเป็นจะต้องมีการ SMB signing เป็นค่าเริ่มต้น เฉพาะเมื่อเชื่อมต่อกับการแชร์แบบ SYSVOL และ NETLOGON และขณะที่ Active Directory domain controllers จำเป็นต้องมีการ SMB signing เมื่อมีการเชื่อมต่อกับไคลเอ็นต์"
SMB signing ช่วยป้องกันคำขอสำหรับการตรวจสอบสิทธิ์ที่เป็นอันตราย โดยการยืนยันตัวตนของผู้ส่ง และผู้รับผ่าน signatures และ hashes ที่อยู่ที่ส่วนท้ายของแต่ละข้อความ
เซิร์ฟเวอร์ SMB และ Remote shares ที่ปิดการใช้งาน SMB signing จะแสดงข้อความ errors ในการเชื่อมต่อด้วยข้อความต่าง ๆ เช่น "The cryptographic signature is invalid", "STATUS_INVALID_SIGNATURE", "0xc000a000", หรือ "-1073700864"
กลไกความปลอดภัยนี้มีมาตั้งแต่ Windows 98 และ 2000 และได้รับการอัปเดตใน Windows 11 และ Windows Server 2022 เพื่อปรับปรุงประสิทธิภาพ และการป้องกัน
การปรับปรุงความปลอดภัยอาจส่งผลกระทบต่อประสิทธิภาพการทำงาน
ในขณะที่การป้องกันการโจมตีแบบ NTLM relay attack เป็นเป้าหมายที่สำคัญสำหรับทีม security แต่ผู้ดูแลระบบ Windows อาจมีความเห็นที่แตกต่าง เนื่องจากวิธีการนี้อาจส่งผลให้ความเร็วในการใช้งานผ่าน SMB ช้าลง
Microsoft เตือนว่า "SMB signing อาจลดประสิทธิภาพของ SMB copy ลง ซึ่งสามารถแก้ปัญหานี้ได้ด้วยการเพิ่มจำนวนของ physical CPU cores หรือ virtual CPUs รวมถึงการใช้ CPU รุ่นใหม่ที่มีประสิทธิภาพ และความเร็วสูงขึ้น"
อย่างไรก็ตาม ผู้ดูแลระบบสามารถปิดใช้งาน SMB signing ในการเชื่อมต่อระหว่างเซิร์ฟเวอร์ และไคลเอ็นต์ได้ โดยการเรียกใช้คำสั่งต่อไปนี้จาก Windows PowerShell terminal ด้วยสิทธิ์ของผู้ดูแลระบบ:
- Set-SmbClientConfiguration -RequireSecuritySignature $false
- Set-SmbServerConfiguration -RequireSecuritySignature $false
แม้ว่าจะไม่จำเป็นที่จะต้องรีสตาร์ทระบบหลังจากใช้คำสั่งเหล่านี้ แต่การเชื่อมต่อ SMB ที่เปิดอยู่นั้นจะยังคงใช้ SMB signing ไปเรื่อย ๆ จนกว่าจะมีการปิดการเชื่อมต่อนั้น
Ned Pyle ผู้จัดการโปรแกรมหลักของ Microsoft ระบุว่า "การเปลี่ยนแปลงค่าเริ่มต้นสำหรับ SMB signing นี้จะนำมาใช้กับรุ่น Pro, Education และรุ่นอื่น ๆ ของ Windows ภายในไม่กี่เดือนข้างหน้า รวมถึง Windows Server ด้วย ขึ้นอยู่กับผลการทดสอบภายใน จากนั้นจึงจะเริ่มนำมาใช้กับรุ่นอื่น ๆ ต่อไป"
การประกาศในวันนี้เป็นส่วนหนึ่งของการปรับปรุงความปลอดภัยของ Windows และ Windows Server ซึ่ง Microsoft ได้แสดงให้เห็นตลอดปีที่ผ่านมา
โดยในเดือนเมษายน 2022 Microsoft ได้ประกาศเกี่ยวกับการปิดใช้งาน SMB1 ใน Windows โดยจะมีการปิดใช้งานโปรโตคอลการแชร์ไฟล์ที่มีอายุมากว่า 30 ปี โดยค่าเริ่มต้นสำหรับ Windows 11 Home Insiders
ห้าเดือนต่อมา Microsoft ได้ประกาศเพิ่มการป้องกันต่อการโจมตีด้วยวิธีการ Brute-force ด้วยการเพิ่ม 'SMB authentication rate limiter' เพื่อจัดการกับความพยายามในการร authentication ผ่าน NTLM
ที่มา : bleepingcomputer
You must be logged in to post a comment.