Microsoft ได้ ใหม่ลงใน Windows 11 Insider Preview Build 25951 (Canary) โดยให้ผู้ดูแลระบบสามารถทำการ Block การใช้งาน NTLM บน SMB Client ได้แล้ว และสามารถเปิดใช้งานผ่านทาง Group Policy หรือ PowerShell ได้
ซึ่งโดยปกติขั้นตอนในการเชื่อมต่อจาก Client ไปยัง SMB Server จะต้องมีการส่ง NTLM challenge response ซึ่งภายในประกอบไปด้วย hash รหัสผ่านของผู้ใช้งาน ทำให้มีความเสี่ยงต่อการถูกโจมตี สาเหตุมาจาก hash ดังกล่าวสามารถถูกถอดรหัสเพื่ออ่านรหัสผ่านได้ หรืออาจมีการโจมตีแบบ NTLM Relay ซึ่งการโจมตีเหล่านี้ ผู้โจมจีจะทำการบังคับให้อุปกรณ์เครือข่าย รวมถึงตัวควบคุมโดเมน ตรวจสอบสิทธิ์เซิร์ฟเวอร์ที่อยู่ภายใต้การควบคุมของตน เพื่อเข้าควบคุมโดเมน Windows อย่างสมบูรณ์โดยการแอบอ้างเป็นเพื่อปลอมตัวเป็นผู้ใช้งาน
โดยการลงนามใน SMB เป็นกลไกการรักษาความปลอดภัย SMB ที่มีหน้าที่สำคัญในการป้องกันคำขอตรวจสอบสิทธิ์ที่เป็นอันตราย โดยการตรวจสอบตัวตนของผู้ส่งและผู้รับผ่านการใช้ลายเซ็นและแฮชที่ฝังไว้ต่อท้ายแต่ละข้อความ
Microsoft มีความพยายามที่จะปรับปรุงความปลอดภัยของการใช้งาน SMB มาโดยตลอด และก่อนหน้านี้ Windows 11 Insider Preview Build 25381 ได้มีการกำหนดให้ Windows 11 ที่เชื่อมต่อ SMB นั้นจะทำ SMB signing โดยอัตโนมัติเพื่อเป็นการป้องกันการโจมตีในรูปแบบ NTLM relay attack
Microsoft ได้ ใหม่ลงใน Windows 11 Insider Preview Build 25951 (Canary) โดยให้ผู้ดูแลระบบสามารถทำการ Block การใช้งาน NTLM บน SMB Client ได้แล้ว และสามารถเปิดใช้งานผ่านทาง Group Policy ได้
โดยฟีเจอร์ดังกล่าวเปิดให้ใช้งานตั้งแต่ Windows 98 และ 2000 และได้รับการอัปเดตใน Windows 11 และ Windows Server 2022 เพื่อปรับปรุงการป้องกันและประสิทธิภาพด้วยการเร่งความเร็วการเข้ารหัสข้อมูล
ที่มา techtalkthai
