Windows 11 บังคับเปิดใช้งาน SMB signing เพื่อป้องกันการโจมตีแบบ NTLM relay attack

Microsoft ระบุว่า SMB signing (หรือถูกเรียกอีกอย่างว่า security signatures) จะเป็นค่าเริ่มต้นสำหรับการเชื่อมต่อทั้งหมดใน Windows 11 เพื่อป้องกันการโจมตีแบบ NTLM relay attack โดยจะเริ่มตั้งแต่ Windows build (รุ่น Enterprise) ที่ประกาศออกมาในวันนี้เป็นต้นไป โดยจะมีการปรับปรุงให้กับผู้ทดสอบภายในช่องทาง Canary Channel ก่อนเปิดให้ใช้งานทั่วไป

ในการโจมตีดังกล่าว ผู้ไม่หวังดีจะบังคับให้อุปกรณ์เครือข่าย (รวมถึง domain controllers) ตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ที่เป็นอันตรายซึ่งอยู่ในการควบคุมของผู้โจมตี เพื่อปลอมเป็นอุปกรณ์เหล่านั้น และเพิ่มสิทธิ์เพื่อให้สามารถเข้าควบคุมโดเมนบน Windows ได้อย่างสมบูรณ์

Microsoft ระบุว่า "การเปลี่ยนแปลงในครั้งนี้ จะเปลี่ยนแปลงวิธีการเก่าของ Windows 10 และ 11 ที่จำเป็นจะต้องมีการ SMB signing เป็นค่าเริ่มต้น เฉพาะเมื่อเชื่อมต่อกับการแชร์แบบ SYSVOL และ NETLOGON และขณะที่ Active Directory domain controllers จำเป็นต้องมีการ SMB signing เมื่อมีการเชื่อมต่อกับไคลเอ็นต์"

SMB signing ช่วยป้องกันคำขอสำหรับการตรวจสอบสิทธิ์ที่เป็นอันตราย โดยการยืนยันตัวตนของผู้ส่ง และผู้รับผ่าน signatures และ hashes ที่อยู่ที่ส่วนท้ายของแต่ละข้อความ

เซิร์ฟเวอร์ SMB และ Remote shares ที่ปิดการใช้งาน SMB signing จะแสดงข้อความ errors ในการเชื่อมต่อด้วยข้อความต่าง ๆ เช่น "The cryptographic signature is invalid", "STATUS_INVALID_SIGNATURE", "0xc000a000", หรือ "-1073700864"

กลไกความปลอดภัยนี้มีมาตั้งแต่ Windows 98 และ 2000 และได้รับการอัปเดตใน Windows 11 และ Windows Server 2022 เพื่อปรับปรุงประสิทธิภาพ และการป้องกัน

การปรับปรุงความปลอดภัยอาจส่งผลกระทบต่อประสิทธิภาพการทำงาน

ในขณะที่การป้องกันการโจมตีแบบ NTLM relay attack เป็นเป้าหมายที่สำคัญสำหรับทีม security แต่ผู้ดูแลระบบ Windows อาจมีความเห็นที่แตกต่าง เนื่องจากวิธีการนี้อาจส่งผลให้ความเร็วในการใช้งานผ่าน SMB ช้าลง

Microsoft เตือนว่า "SMB signing อาจลดประสิทธิภาพของ SMB copy ลง ซึ่งสามารถแก้ปัญหานี้ได้ด้วยการเพิ่มจำนวนของ physical CPU cores หรือ virtual CPUs รวมถึงการใช้ CPU รุ่นใหม่ที่มีประสิทธิภาพ และความเร็วสูงขึ้น"

อย่างไรก็ตาม ผู้ดูแลระบบสามารถปิดใช้งาน SMB signing ในการเชื่อมต่อระหว่างเซิร์ฟเวอร์ และไคลเอ็นต์ได้ โดยการเรียกใช้คำสั่งต่อไปนี้จาก Windows PowerShell terminal ด้วยสิทธิ์ของผู้ดูแลระบบ:

Set-SmbClientConfiguration -RequireSecuritySignature $false
Set-SmbServerConfiguration -RequireSecuritySignature $false

แม้ว่าจะไม่จำเป็นที่จะต้องรีสตาร์ทระบบหลังจากใช้คำสั่งเหล่านี้ แต่การเชื่อมต่อ SMB ที่เปิดอยู่นั้นจะยังคงใช้ SMB signing ไปเรื่อย ๆ จนกว่าจะมีการปิดการเชื่อมต่อนั้น

Ned Pyle ผู้จัดการโปรแกรมหลักของ Microsoft ระบุว่า "การเปลี่ยนแปลงค่าเริ่มต้นสำหรับ SMB signing นี้จะนำมาใช้กับรุ่น Pro, Education และรุ่นอื่น ๆ ของ Windows ภายในไม่กี่เดือนข้างหน้า รวมถึง Windows Server ด้วย ขึ้นอยู่กับผลการทดสอบภายใน จากนั้นจึงจะเริ่มนำมาใช้กับรุ่นอื่น ๆ ต่อไป"

การประกาศในวันนี้เป็นส่วนหนึ่งของการปรับปรุงความปลอดภัยของ Windows และ Windows Server ซึ่ง Microsoft ได้แสดงให้เห็นตลอดปีที่ผ่านมา

โดยในเดือนเมษายน 2022 Microsoft ได้ประกาศเกี่ยวกับการปิดใช้งาน SMB1 ใน Windows โดยจะมีการปิดใช้งานโปรโตคอลการแชร์ไฟล์ที่มีอายุมากว่า 30 ปี โดยค่าเริ่มต้นสำหรับ Windows 11 Home Insiders

ห้าเดือนต่อมา Microsoft ได้ประกาศเพิ่มการป้องกันต่อการโจมตีด้วยวิธีการ Brute-force ด้วยการเพิ่ม 'SMB authentication rate limiter' เพื่อจัดการกับความพยายามในการร authentication ผ่าน NTLM

ที่มา : bleepingcomputer 

NTLM Relay Attack รูปแบบใหม่ ทำให้แฮ็กเกอร์เข้ายึด Windows domain ได้

มีการค้นพบการโจมตีแบบ NTLM Relay Attack ที่เรียกว่า DFSCoerce โดยการใช้ MS-DFSNM (Microsoft's Distributed File System) เพื่อเข้ายึด Windows domain ได้

หลายๆองค์กรจะมีการใช้ Microsoft Active Directory Certificate Services, public key infrastructure (PKI) service ในการตรวจสอบสิทธิ์ผู้ใช้, บริการ และอุปกรณ์บน Windows domain

โดยบริการเหล่านี้มีความเสี่ยงจากการถูกโจมตีแบบ NTLM relay attacks ซึ่งจะเกิดขึ้นจากการที่ผู้โจมตีพยายามทำให้ domain controller รับการตรวจสอบสิทธิ์จาก NTLM relay ที่เป็นอันตรายที่อยู่ภายใต้การควบคุมโดยผู้โจมตี

ซึ่งเซิร์ฟเวอร์ที่เป็นอันตรายเหล่านี้จะส่งคำขอ authentication ไปยัง Active Directory Certificate Services ของโดเมนผ่านทาง HTTP จากนั้นก็จะได้รับ Kerberos Ticket-granting (TGT) กลับมา ซึ่ง Ticket นี้จะทำให้ผู้โจมตีสามารถถูกระบุเป็นอุปกรณ์ใดๆก็ได้ในเครือข่าย รวมไปถึง domain controller ด้วย ซึ่งเมื่อสามารถปลอมแปลงเป็น domain controller ได้แล้ว ผู้โจมตีก็จะสามารถยกระดับสิทธิ์เพื่อเข้าควบคุมโดเมน และเรียกใช้คำสั่งใดๆ ก็ได้

ในการบังคับให้เซิร์ฟเวอร์ตรวจสอบสิทธิ์กับ NTLM relay ที่เป็นอันตราย ผู้โจมตีสามารถใช้วิธีการต่างๆ เช่น MS-RPRN, MS-EFSRPC (PetitPotam) และโปรโตคอล MS-FSRVP

แม้ว่า Microsoft ได้ออกแพตซ์แก้ไขช่องโหว่ในการตรวจสอบสิทธิ์โดยใช้โปรโตคอลเหล่านี้ไปแล้ว แต่ก็ยังพบการหลบหลีกการป้องกันเพื่อใช้โปรโตคอลเหล่านี้ในการโจมตีได้อยู่

NTLM Relay Attack รูปแบบใหม่ โดยใช้ MS-DFSNM

สัปดาห์นี้ Filip Dragovic นักวิจัยด้านความปลอดภัยได้เผยแพร่สคริปต์เพื่อพิสูจน์แนวคิดสำหรับการโจมตี NTLM Relay Attack รูปแบบใหม่ที่เรียกว่า 'DFSCoerce' ซึ่งใช้โปรโตคอล Distributed File System (MS-DFSNM) ของ Microsoft

DFSCoerce script มีพื้นฐานมาจากการโจมตีแบบ PetitPotam แต่แทนที่จะใช้ MS-EFSRPC สคริปต์นี้ใช้ MS-DFSNM ซึ่งเป็นโปรโตคอลที่ใช้บริหารจัดการ Windows Distributed File System (DFS) ผ่าน RPC interface

นักวิจัยให้ข้อมูลกับ BleepingComputer ว่า วิธีที่ดีที่สุดในการป้องกันการโจมตีในรูปแบบนี้คือการทำตามคำแนะนำในการลดความเสี่ยงของ Microsoft จากการโจมตีในรูปแบบ PetitPotam NTLM Relay Attack โดยการปิด NTLM บน domain controller, ปิด web services บน Active Directory Certificate Services servers และเปิด Extended Protection for Authentication และฟีเจอร์ signing เช่น SMB signing เพื่อป้องกัน Windows credentials เป็นต้น

วิธีการลดความเสี่ยงจากการโจมตีอื่นๆ ก็เช่นการใช้ RPC Filters หรือ RPC Firewall เพื่อป้องกันไม่ให้เซิร์ฟเวอร์ถูกบังคับผ่านโปรโตคอล MS-DFSNM อย่างไรก็ตาม ยังไม่มีข้อมูลว่าการบล็อกการเชื่อมต่อ DFS RPC จะทำให้เกิดปัญหาอื่นๆในเครือข่ายตามมาหรือไม่

ที่มา : bleepingcomputer