Microsoft ประกาศเลิกใช้ NTLM authentication บน Windows

Microsoft ประกาศเลิกใช้การ authentication ผ่าน NTLM บน Windows server อย่างเป็นทางการ โดยระบุว่าจะเปลี่ยนไปใช้การ authentication ผ่าน Kerberos หรือ Negotiation แทน เพื่อแก้ไขปัญหาการโจมตีผ่าน NTLM

New Technology LAN Manager หรือที่รู้จักกันดีในชื่อ NTLM เป็น authentication protocol ที่เปิดตัวครั้งแรกในปี 1993 โดยเป็นส่วนหนึ่งของ Windows NT 3.1 และเป็นตัวแทนของ LAN Manager (LM) protocol

โดย NTLM ได้ถูกใช้งานอย่างแพร่หลายจนถึงปัจจุบัน ซึ่ง Microsoft ประกาศว่า NTLM จะไม่ได้รับการพัฒนาอีกต่อไปในเดือนมิถุนายน 2024 และจะค่อย ๆ ยุติการใช้งานลง เพื่อรองรับทางเลือกอื่น ๆ ที่มีความปลอดภัยยิ่งขึ้น ภายในเดือนตุลาคม 2024 ซึ่ง Microsoft แนะนำให้ผู้ดูแลระบบทำการย้ายไปใช้ Kerberos authentication และระบบการ authentication อื่น ๆ เช่น Negotiate

เนื่องจาก NTLM มักถูก Hacker นำไปใช้ในการโจมตีที่เรียกว่า 'NTLM Relay Attacks' ซึ่งจะทำให้ Windows domain controller ถูกเข้าควบคุม โดยการบังคับให้ทำการ authentication กับเซิร์ฟเวอร์ที่เป็นอันตราย แม้ว่า Microsoft จะมีการเปิดตัวมาตรการใหม่เพื่อป้องกันการโจมตีเหล่านั้น เช่น SMB security signing แต่การโจมตี NTLM ก็ยังคงเกิดขึ้น

ตัวอย่างการโจมตี เช่น การขโมย password hash และนำมาใช้ในการโจมตีแบบ "pass-the-hash", การโจมตีแบบฟิชชิ่ง และการดึงข้อมูลโดยตรงจาก Active Directory database หรือหน่วยความจำของเซิร์ฟเวอร์ รวมไปถึง Hacker ยังสามารถ crack password hash เพื่อทำให้ได้รหัสผ่านแบบ plaintext ของผู้ใช้ได้ เนื่องจากวิธีการเข้ารหัสที่ไม่ดีพอ

Microsoft จึงได้แนะนำให้เปลี่ยนไปใช้ protocol ที่มีความปลอดภัยกว่า เช่น Kerberos ที่มีการเข้ารหัสที่ดีกว่า

การเลิกใช้งาน NTLM

ทั้งนี้ NTLM จะยังคงมีการใช้งานใน Windows Server รุ่นถัดไป อย่างไรก็ตามผู้ใช้ และนักพัฒนาแอปพลิเคชันควรเปลี่ยนไปใช้ 'Negotiate' ซึ่งจะพยายามตรวจสอบสิทธิ์กับ Kerberos ก่อน และกลับไปใช้ NTLM เมื่อจำเป็นเท่านั้น

Microsoft แนะนำให้ผู้ดูแลระบบใช้เครื่องมือตรวจสอบการใช้งาน NTLM บนระบบของตน และระบุ instance ทั้งหมดที่ต้องพิจารณาในการกำหนดแผนการเปลี่ยนแปลงดังกล่าว

สำหรับแอปพลิเคชันส่วนใหญ่ การเปลี่ยนจาก NTLM เป็น Negotiate สามารถทำได้โดยการเปลี่ยนแปลงค่าใน 'AcquireCredentialsHandle' request ที่ไปยัง Security Support Provider Interface (SSPI) อย่างไรก็ตาม อาจมีข้อยกเว้นที่จำเป็นต้องทำการเปลี่ยนแปลงค่าเพิ่มเติม

โดย Negotiate มี built-in fallback สำหรับ NTLM ในตัว เพื่อลดปัญหา compatibility ในช่วงการเปลี่ยนแปลง ซึ่งผู้ดูแลระบบที่ติดปัญหาการ authentication สามารถดูวิธีแก้ปัญหาจากคู่มือการแก้ไขปัญหา Kerberos ของ Microsoft

ที่มา : bleepingcomputer.