Các nhà nghiên cứu của ACROS Security đã xác định một lỗ hổng bảo mật mới trong mã Windows. Các chuyên gia cho biết lỗ hổng này cho phép kẻ tấn công lấy được thông tin xác thực NTLM của người dùng. Đây là dữ liệu của NTLM (New Technology LAN Manager), giao thức xác thực do Microsoft phát triển để xác minh danh tính người dùng. Đây là dấu vân tay (hay "băm" trong tiếng Anh) của mật khẩu người dùng, được lưu trữ trên hệ điều hành. Chúng được sử dụng trong quá trình xác thực để xác thực danh tính của người dùng mà không cần phải truyền mật khẩu dưới dạng văn bản thuần túy qua mạng. Giao thức này có nguồn gốc từ những năm 1990.
Các nhà nghiên cứu của ACROS Security thừa nhận rằng việc khai thác lỗ hổng, thông tin chi tiết chưa được tiết lộ, phụ thuộc vào "một số yếu tố". Đặc biệt, "kẻ tấn công phải ở trong mạng của nạn nhân" hoặc sử dụng thông tin đăng nhập bị chặn để xác thực với máy chủ Exchange công khai. Tất cả các phiên bản Windows, từ Windows 7 đến các phiên bản Windows 11 mới nhất, cũng như Windows Server 2008 R2 đến Windows Server 2025 đều bị ảnh hưởng.
Đây không phải là lần đầu tiên mối đe dọa liên quan đến thông tin xác thực NTLM xuất hiện. Trước đây, nhiều tội phạm mạng đã dựa vào giao thức xác thực để thực hiện các cuộc tấn công mạng. Một lỗi trong hàm băm NTLM cũng đã được sửa vào tháng trước. Như ACROS Security chỉ ra, đã có bằng chứng cho thấy lỗ hổng NTLM đang bị khai thác trong các cuộc tấn công.
Trước nhiều hành vi lạm dụng đã được xác định, Microsoft đã tuyên bố ý định chấm dứt giao thức. Microsoft tuyên bố rằng tất cả các phiên bản NTLM, bao gồm LANMAN, NTLMv1 và NTLMv2, đều không còn được phát triển nữa và được coi là lỗi thời. Hơn nữa, nhà xuất bản đã bắt đầu loại bỏ NTLM trên các phiên bản Windows gần đây. Các phiên bản Windows 11 trong tương lai sẽ không có tính năng này.
Để phản hồi lại Bleeping Computer, Microsoft đã cam kết giải quyết vấn đề. thực hiện "các biện pháp cần thiết để bảo vệ khách hàng". Nhóm người Mỹ này vẫn chưa cung cấp thêm thông tin chi tiết về ngày triển khai bản cập nhật Windows Day.
Nguồn: 0Bản vá
Một tệp độc hại trong Windows Explorer
Để có được những thông tin xác thực này, kẻ tấn công phải thuyết phục mục tiêu "xem tệp độc hại" trong Windows Explorer. Ví dụ, kẻ tấn công có thể sử dụng “mở tệp độc hại nằm trong thư mục dùng chung hoặc trên USB khóa hoặc mở thư mục Tải xuống nơi tệp này sẽ được tải xuống tự động từ trang web của kẻ tấn công..Các nhà nghiên cứu của ACROS Security thừa nhận rằng việc khai thác lỗ hổng, thông tin chi tiết chưa được tiết lộ, phụ thuộc vào "một số yếu tố". Đặc biệt, "kẻ tấn công phải ở trong mạng của nạn nhân" hoặc sử dụng thông tin đăng nhập bị chặn để xác thực với máy chủ Exchange công khai. Tất cả các phiên bản Windows, từ Windows 7 đến các phiên bản Windows 11 mới nhất, cũng như Windows Server 2008 R2 đến Windows Server 2025 đều bị ảnh hưởng.
Đây không phải là lần đầu tiên mối đe dọa liên quan đến thông tin xác thực NTLM xuất hiện. Trước đây, nhiều tội phạm mạng đã dựa vào giao thức xác thực để thực hiện các cuộc tấn công mạng. Một lỗi trong hàm băm NTLM cũng đã được sửa vào tháng trước. Như ACROS Security chỉ ra, đã có bằng chứng cho thấy lỗ hổng NTLM đang bị khai thác trong các cuộc tấn công.
Trước nhiều hành vi lạm dụng đã được xác định, Microsoft đã tuyên bố ý định chấm dứt giao thức. Microsoft tuyên bố rằng tất cả các phiên bản NTLM, bao gồm LANMAN, NTLMv1 và NTLMv2, đều không còn được phát triển nữa và được coi là lỗi thời. Hơn nữa, nhà xuất bản đã bắt đầu loại bỏ NTLM trên các phiên bản Windows gần đây. Các phiên bản Windows 11 trong tương lai sẽ không có tính năng này.
Bản vá không chính thức đã có sẵn
Do lo ngại tội phạm mạng sẽ khai thác lỗ hổng bảo mật của NTLM, ACROS Security đã phát hành bản vá Windows không chính thức trên trang web của mình. Bản sửa lỗi này, dưới dạng một số bản vá lỗi nhỏ, sẽ vẫn miễn phí "cho đến khi Microsoft cung cấp bản vá lỗi chính thức. Chỉ cần truy cập dịch vụ vá lỗi nhỏ 0Patch để nhận các bản vá lỗi.Để phản hồi lại Bleeping Computer, Microsoft đã cam kết giải quyết vấn đề. thực hiện "các biện pháp cần thiết để bảo vệ khách hàng". Nhóm người Mỹ này vẫn chưa cung cấp thêm thông tin chi tiết về ngày triển khai bản cập nhật Windows Day.
Nguồn: 0Bản vá
