Microsoft ประกาศเลิกใช้ NTLM authentication บน Windows

Microsoft ประกาศเลิกใช้การ authentication ผ่าน NTLM บน Windows server อย่างเป็นทางการ โดยระบุว่าจะเปลี่ยนไปใช้การ authentication ผ่าน Kerberos หรือ Negotiation แทน เพื่อแก้ไขปัญหาการโจมตีผ่าน NTLM

New Technology LAN Manager หรือที่รู้จักกันดีในชื่อ NTLM เป็น authentication protocol ที่เปิดตัวครั้งแรกในปี 1993 โดยเป็นส่วนหนึ่งของ Windows NT 3.1 และเป็นตัวแทนของ LAN Manager (LM) protocol

โดย NTLM ได้ถูกใช้งานอย่างแพร่หลายจนถึงปัจจุบัน ซึ่ง Microsoft ประกาศว่า NTLM จะไม่ได้รับการพัฒนาอีกต่อไปในเดือนมิถุนายน 2024 และจะค่อย ๆ ยุติการใช้งานลง เพื่อรองรับทางเลือกอื่น ๆ ที่มีความปลอดภัยยิ่งขึ้น ภายในเดือนตุลาคม 2024 ซึ่ง Microsoft แนะนำให้ผู้ดูแลระบบทำการย้ายไปใช้ Kerberos authentication และระบบการ authentication อื่น ๆ เช่น Negotiate

เนื่องจาก NTLM มักถูก Hacker นำไปใช้ในการโจมตีที่เรียกว่า 'NTLM Relay Attacks' ซึ่งจะทำให้ Windows domain controller ถูกเข้าควบคุม โดยการบังคับให้ทำการ authentication กับเซิร์ฟเวอร์ที่เป็นอันตราย แม้ว่า Microsoft จะมีการเปิดตัวมาตรการใหม่เพื่อป้องกันการโจมตีเหล่านั้น เช่น SMB security signing แต่การโจมตี NTLM ก็ยังคงเกิดขึ้น

ตัวอย่างการโจมตี เช่น การขโมย password hash และนำมาใช้ในการโจมตีแบบ "pass-the-hash", การโจมตีแบบฟิชชิ่ง และการดึงข้อมูลโดยตรงจาก Active Directory database หรือหน่วยความจำของเซิร์ฟเวอร์ รวมไปถึง Hacker ยังสามารถ crack password hash เพื่อทำให้ได้รหัสผ่านแบบ plaintext ของผู้ใช้ได้ เนื่องจากวิธีการเข้ารหัสที่ไม่ดีพอ

Microsoft จึงได้แนะนำให้เปลี่ยนไปใช้ protocol ที่มีความปลอดภัยกว่า เช่น Kerberos ที่มีการเข้ารหัสที่ดีกว่า

การเลิกใช้งาน NTLM

ทั้งนี้ NTLM จะยังคงมีการใช้งานใน Windows Server รุ่นถัดไป อย่างไรก็ตามผู้ใช้ และนักพัฒนาแอปพลิเคชันควรเปลี่ยนไปใช้ 'Negotiate' ซึ่งจะพยายามตรวจสอบสิทธิ์กับ Kerberos ก่อน และกลับไปใช้ NTLM เมื่อจำเป็นเท่านั้น

Microsoft แนะนำให้ผู้ดูแลระบบใช้เครื่องมือตรวจสอบการใช้งาน NTLM บนระบบของตน และระบุ instance ทั้งหมดที่ต้องพิจารณาในการกำหนดแผนการเปลี่ยนแปลงดังกล่าว

สำหรับแอปพลิเคชันส่วนใหญ่ การเปลี่ยนจาก NTLM เป็น Negotiate สามารถทำได้โดยการเปลี่ยนแปลงค่าใน 'AcquireCredentialsHandle' request ที่ไปยัง Security Support Provider Interface (SSPI) อย่างไรก็ตาม อาจมีข้อยกเว้นที่จำเป็นต้องทำการเปลี่ยนแปลงค่าเพิ่มเติม

โดย Negotiate มี built-in fallback สำหรับ NTLM ในตัว เพื่อลดปัญหา compatibility ในช่วงการเปลี่ยนแปลง ซึ่งผู้ดูแลระบบที่ติดปัญหาการ authentication สามารถดูวิธีแก้ปัญหาจากคู่มือการแก้ไขปัญหา Kerberos ของ Microsoft

ที่มา : bleepingcomputer.

นักวิจัยพบช่องโหว่ของ Outlook ทำให้รหัสผ่าน NTLM ของผู้ใช้รั่วไหลได้

พบช่องโหว่ด้านความปลอดภัยที่ได้รับการแก้ไขไปแล้วใน Microsoft Outlook ที่อาจถูกโจมตีเพื่อเข้าถึง hashed passwords ของ NT LAN Manager (NTLM) v2 เมื่อมีการเปิดไฟล์แนบที่ถูกสร้างขึ้นมาเป็นพิเศษ

ช่องโหว่นี้มีหมายเลข CVE-2023-35636 (คะแนน CVSS: 6.5) โดยได้รับการแก้ไขจาก Microsoft ไปแล้ว โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ประจำเดือนธันวาคม 2023 ที่ผ่านมา

Microsoft แจ้งเตือนช่องโหว่ใน Outlook กำลังถูกใช้ในการโจมตีจากแฮ็กเกอร์รัสเซียอยู่อย่างต่อเนื่อง

Microsoft ระบุ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับการโจมตีจากช่องโหว่ของ Outlook ที่เพิ่งได้รับการแก้ไขไปเมื่อต้นเดือนมีนาคมที่ผ่านมา

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-23397 (CVSS score: 9.8) เป็นช่องโหว่ระดับ Critical เกี่ยวกับการยกระดับสิทธิ์ ซึ่งถูกใช้ในการโจมตีเพื่อขโมย NT Lan Manager (NTLM) hashes โดยไม่ต้องมีการดำเนินการใด ๆ จากผู้ใช้งาน

ช่องโหว่นี้จะทำให้ Net-NTLMv2 hash ของเหยื่อถูกขโมยออกไป ซึ่งผู้โจมตีสามารถนำไปใช้กับบริการอื่น ๆ เพื่อใช้ในการยืนยันตัวตนได้
(more…)

นักวิจัยทดสอบ PoC ช่องโหว่ของ Microsoft Outlook พบว่าสามารถทำการโจมตีได้ง่ายมาก [EndUser]

นักวิจัยจาก MDSec บริษัทที่ปรึกษาด้านความปลอดภัย ออกมาเปิดเผยเทคนิคสำหรับการโจมตี Proof of Concept (PoC) ช่องโหว่ของ Microsoft Outlook ที่มีความรุนแรงระดับ Critical (CVE-2023-23397) ซึ่งทำให้ Hacker สามารถขโมย Hash Password ได้ เพียงแค่เหยื่อทำการเปิดอีเมล

CVE-2023-23397: Microsoft Outlook Elevation of Privilege Vulnerability Exploiting (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) โดยเป็นช่องโหว่ใน Windows NTLM ทำให้ Hacker สามารถยกระดับสิทธิ และขโมย NTLM credential ได้ เพียงแค่ส่งอีเมลที่เป็นอันตรายไปยังเป้าหมาย ขณะที่เป้าหมายใช้งาน Microsoft Outlook อยู่ก็สามารถทำการโจมตีได้ทันที ซึ่งช่องโหว่นี้ได้ส่งผลกระทบต่อ Microsoft Outlook ทุกเวอร์ชันบน Windows

Windows New technology LAN Manager (NTLM) เป็นวิธีการตรวจสอบความถูกต้องที่ใช้ในการเข้าสู่ระบบโดเมน Windows โดยใช้การเข้าสู่ระบบแบบ Hash credentials

ขณะนี้ Microsoft ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว แต่พบว่าช่องโหว่ดังกล่าวได้ถูกใช้ในการโจมตีแบบ Zero Day NTLM-relay มาตั้งแต่เดือนเมษายน 2022

การโจมตีโดยใช้ NTLM

Microsoft อธิบายว่า Hacker สามารถใช้ CVE-2023-23397 เพื่อขโมย NTLM hash ของเป้าหมาย ด้วยการส่ง MAPI property และ UNC path ไปยัง SMB (TCP 445) เพื่อเชื่อมต่อกลับไปยัง Server ของ Hacker โดยการเชื่อมต่อผ่าน SMB ออกไปยังเซิร์ฟเวอร์ภายนอกจะส่งข้อมูล NTLM negotiation message ของผู้ใช้งานออกไป ซึ่งจะสามารถทำให้ผู้โจมตีสามารถส่งต่อการ authentication กับระบบอื่น ๆ ที่รองรับการใช้งาน NTLM

ทาง Microsoft และ MDSec ได้ทำการตรวจสอบรายการข้อความใน Exchange เพื่อค้นหาร่องรอยการโจมตี โดยได้พบกับสคริปต์ “PidLidReminderFileParameter” ภายในรายการจดหมายที่ได้รับใน Exchange ซึ่งมีความสามารถในการทำให้ Microsoft Outlook เรียกไปยัง UNC path ที่อันตราย ทำให้สามารถสร้างอีเมล Outlook (.MSG) ที่เป็นอันตรายพร้อมการนัดหมายในปฏิทิน รวมไปถึงใช้ Microsoft Outlook Tasks และ Notes เพื่อโจมตีช่องโหว่ และส่ง NTLM hash ของเป้าหมาย ไปยัง Server ของ Hacker หลังจากนั้น Hacker จะนำ NTLM hash ดังกล่าวที่ขโมยมา ไปใช้ในการเข้าถึงระบบของเป้าหมายอีกครั้งหนึ่ง เมื่อเข้าถึงระบบได้แล้วก็จะทำการใช้ Impacket และ PowerShell Empire open-source framework เพื่อแพร่กระจายไปในระบบของเป้าหมายเพื่อรวบรวมข้อมูล

นอกจากนี้ยังพบว่า Hacker ได้ใช้ช่องโหว่ CVE-2023-23397 เพื่อหลีกเลี่ยงการตรวจสอบสิทธิเพื่อเชื่อมต่อออกไปยัง IP address ที่อยู่นอก Intranet Zone หรือ Trust Site อีกด้วย

การโจมตีแบบ Zero-day ที่เกี่ยวข้องกับ Hacker ชาวรัสเซีย

ช่องโหว่ CVE-2023-23397 ถูกค้นพบ และรายงานไปยัง Microsoft โดย Computer Emergency Response Team (CERT-UA) ของยูเครน โดยได้ค้นพบหลังจากการถูก Hacker ชาวรัสเซีย โจมตีด้วยช่องโหว่ดังกล่าว โดยพบว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปยังองค์กรในยุโรปหลายแห่งในภาครัฐบาล การขนส่ง พลังงาน และการทหาร

โดยทาง CERT-UA เชื่อว่ากลุ่ม Hacker ที่อยู่เบื้องหลังการโจมตีในครั้งนี้ คือกลุ่ม APT28 (ในชื่อ Strontium, Fancy Bear, Sednit, Sofacy) ซึ่งมีความเชื่อมโยงกับหน่วยงาน General Staff of the Armed Forces of the Russian Federation (GRU) ซึ่งได้คาดการณ์ว่ามีองค์กรมากถึง 15 แห่งที่ตกเป็นเป้าหมายการโจมตีโดยใช้ CVE-2023-23397 โดยพบการโจมตีครั้งล่าสุดในเดือนธันวาคม 2023

Microsoft ได้แจ้งเตือนให้ผู้ดูแลระบบให้เร่งทำการอัปเดตเพื่อป้องกันช่องโหว่ดังกล่าว รวมไปถึงทำการตรวจสอบรายการข้อความใน Exchange ว่ามาพร้อมกับ UNC path ผ่าน SMB (TCP 445) หรือไม่ เพื่อค้นหาร่องรอยการถูกโจมตี

 

ที่มา : bleepingcomputer

Microsoft แก้ไขช่องโหว่ Zero-day NTLM relay ใน Windows ทุกเวอร์ชัน

Microsoft แจ้งเตือนช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตีในลักษณะ Windows LSA spoofing ซึ่งจะทำให้ผู้โจมตีที่ไม่ต้องผ่านการตรวจสอบสิทธิ์สามารถใช้ประโยชน์จากช่องโหว่เพื่อบังคับให้ตัว Domain controllers รับรองให้ผู้โจมตีสามารถเข้าถึงระบบได้ ผ่านโปรโตคอล Windows NT LAN Manager (NTLM)

LSA (Local Security Authority) เป็นระบบหนึ่งของ Windows ที่ทำหน้าที่ในการ enforces local policies และตรวจสอบการ sign-in เข้าใช้งานของ users ทั้งจาก local และ remote

ช่องโหว่ดังกล่าว มีหมายเลขช่องโหว่คือ CVE-2022-26925 โดยมีการรายงานช่องโหว่จาก Raphael John ของ Bertelsmann Printing Group ซึ่งพบว่าถูกนำไปใช้ในการโจมตีจริงแล้วในปัจจุบัน และจะเป็นช่องทางใหม่สำหรับการโจมตีแบบ PetitPotam NTLM relay attack

การโจมตีแบบ PetitPotam ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย GILLES Lionel ในเดือนกรกฎาคม พ.ศ. 2564 โดยมีความพยายามจากทาง Microsoft ในการบล็อกการโจมตีในรูปแบบดังกล่าว อย่างไรก็ตามวิธีการแก้ไขปัญหาชั่วคราว และการอัปเดตความปลอดภัยจาก Microsoft ที่มีการอัปเดตออกมา ก็ยังไม่สามารถบล็อกการโจมตีด้วยวิธีการ PetitPotam ทั้งหมด

กลุ่ม LockFile ransomware ก็เป็นหนึ่งในกลุ่มที่ใช้วิธีการโจมตีแบบ PetitPotam NTLM relay ด้วยการ hijack ตัว Windows domains เพื่อติดตั้ง payloads ที่เป็นอันตราย

Microsoft แนะนำให้ผู้ดูแลระบบ Windows ตรวจสอบวิธีการลดผลกระทบจากการโจมตีแบบ PetitPotam และมาตรการการลดผลกระทบใน NTLM Relay Attacks บน Active Directory Certificate Services (AD CS) โดยสามารถตรวจสอบได้จากลิงค์ https://support.

ฟีเจอร์ Windows 10 Theme สามารถทำให้ผู้ประสงค์ร้ายขโมยรหัสผ่านล็อกอิน Windows ได้

Jimmy Bayne นักวิจัยด้านความปลอดภัยจาก Weekend Security ได้เปิดเผยถึงการโจมตีแบบ Pass-the-Hash โดยการใช้ Windows Theme ที่ออกแบบมาเป็นพิเศษซึ่งจะทำให้ผู้โจมตีสามารถขโมยข้อมูล Credential และสามารถเข้าสู่ระบบ Windows ได้

เทคนิคการโจมตีแบบ Pass-the-Hash นั้นจะใช้เพื่อทำการขโมยข้อมูลบัญชีผู้ใช้และแฮชรหัสผ่านของ Windows โดยหลอกให้ผู้ใช้เข้าถึง SMB share จากระยะไกลที่ต้องมีการตรวจสอบสิทธิ์ เมื่อมีการพยายาม Remote เพื่อเข้าถึง Windows จะเข้าสู่ระบบโดยอัตโนมัติ โดยจะส่งชื่อบัญชีล็อกอินของผู้ใช้ Windows และแฮช NTLM ของรหัสผ่านกลับไปและจะทำให้ผู้โจมตีสามารถรวบรวมข้อมูล Credential และสามารถเข้าสู่ระบบ Windows ได้

เพื่อเป็นการป้องกันไฟล์ Theme ที่เป็นอันตราย Bayne ได้แนะนำให้ผู้ใช้ทำการปิดส่วนที่เกี่ยวข้องกับ Extensions ของ theme เช่น .theme, .themepack และ .desktopthemepackfile และโปรแกรมอื่นๆที่เกี่ยวข้อง ซึ่งการปิดส่วนนี้จะทำให้ฟีเจอร์ Windows 10 Themes ไม่สามาารถใช้งานได้ผู้ใช้ต้องทำการพิจารณาในการปิดใช้งานฟีเจอร์นี้ ทั้งนี้ผู้ใช้ Windows สามารถกำหนดค่า group policy ที่ชื่อ ‘Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers’ และตั้งค่าเป็น ' Deny All ' เพื่อป้องกันไม่ให้ส่ง NTLM Credential ไปยัง Remote host และเพื่อป้องกันการรั่วไหลของ Credential บัญชีผู้ใช้

ที่มา: bleepingcomputer.

Microsoft Patches Critical Vulnerabilities in NTLM

Microsoft ออกแพตช์ประจำเดือนมิถุนายน 2019 แก้ไขช่องโหว่กว่า 90 ช่องโหว่ รวมถึง 2 ช่องโหว่ในระดับ Critical ที่มีผลกระทบกับโปรโตคอล NTLM

CVE-2019-1040 และ CVE-2019-1019 คือช่องโหว่ภายใน NTLM ที่ทำให้ผู้โจมตีข้ามกลไกการตรวจสอบสิทธิ์ของ NTLM ได้ โดยมีผลกระทบต่อ windows ทุกรุ่น ผู้โจมตีที่ใช้งานช่องโหว่นี้จะสามารถรันโค้ดอันตรายบนเครื่อง windows หรือเข้าถึง HTTP server ที่รองรับ Windows Integrated Authentication (WIA) ซึ่งจะรวมถึง Exchange และ ADFS

NTLM นั่นอาจถูกโจมตีจาก relay attacks ได้ ทำให้ Microsoft เพิ่มกลไกในการป้องกันการโจมตีดังกล่าว แต่นักวิจัยจาก Preempt พบวิธีที่จะข้ามกลไกการป้องกันได้แก่ Message Integrity Code (MIC) SMB Session Signing และ Enhanced Protection for Authentication (EPA) ได้ ทำให้สามารถทำการโจมตีด้วย relay attacks สำเร็จได้

ผู้ใช้ควรทำการ update แพตช์ให้เป็นปัจจุบัน ทำการตั้งค่าบนเครื่อง server ให้ปลอดภัย ได้แก่บังคับใช้SMB Signing, บล็อก NTLMv1, บังคับใช้ LDAP/S Signing และบังคับใช้ EPA และลดการใช้งาน NTLM ในส่วนที่ไม่จำเป็น

ที่มา:securityweek