Microsoft เตรียมปิดใช้งาน NTLM เป็นค่าเริ่มต้นใน Windows เวอร์ชันอนาคต

Microsoft ประกาศจะปิดใช้งานโปรโตคอล NTLM (New Technology LAN Manager) ซึ่งมีอายุกว่า 30 ปี เป็นค่าเริ่มต้นใน Windows เวอร์ชันใหม่ที่กำลังจะมาถึง รวมถึง Windows Server ในอนาคต การตัดสินใจนี้มาจากการที่ NTLM มีช่องโหว่ด้านความปลอดภัยร้ายแรงที่ทำให้องค์กรตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ได้ง่าย เช่น NTLM Relay Attack และ Pass-the-Hash Attack แม้ Kerberos จะเข้ามาแทนที่ NTLM เป็นโปรโตคอลหลักสำหรับการเชื่อมต่อโดเมนแล้ว แต่ NTLM ยังคงถูกใช้เป็นวิธีการสำรอง ทำให้เกิดความเสี่ยงอย่างต่อเนื่อง Microsoft ได้วางแผนการเปลี่ยนผ่าน 3 ระยะ โดยเริ่มจากการตรวจสอบการใช้งาน NTLM ไปจนถึงการปิดใช้งานโดยค่าเริ่มต้นในที่สุด เพื่อผลักดันไปสู่การยืนยันตัวตนที่แข็งแกร่งและไม่ใช้รหัสผ่าน

Severity: สูง

System Impact:

• Windows
• Windows 11
• Windows Server
• Windows Server 2025
• อุปกรณ์ที่เชื่อมต่อโดเมนที่ใช้ Windows 2000 หรือใหม่กว่า

Technical Attack Steps:

1. NTLM Relay Attack:
2. 1. ผู้โจมตีบังคับอุปกรณ์เครือข่ายที่ถูกบุกรุกให้ยืนยันตัวตนกับเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
3. 2. ผู้โจมตีใช้ข้อมูลการยืนยันตัวตนที่ได้มาเพื่อยกระดับสิทธิ์และเข้าควบคุมโดเมน Windows ได้อย่างสมบูรณ์
4. Pass-the-Hash Attack:
5. 1. ผู้โจมตีใช้ช่องโหว่ของระบบหรือติดตั้งมัลแวร์เพื่อขโมย NTLM hash (รหัสผ่านที่ถูกแฮช) จากระบบเป้าหมาย
6. 2. ผู้โจมตีใช้ NTLM hash ที่ขโมยมาเพื่อยืนยันตัวตนในฐานะผู้ใช้ที่ถูกบุกรุก ทำให้สามารถขโมยข้อมูลสำคัญและแพร่กระจายไปยังส่วนอื่น ๆ ของเครือข่ายได้

Recommendations:

Short Term:

• ผู้ดูแลระบบควรปิดใช้งาน NTLM หรือกำหนดค่าเซิร์ฟเวอร์เพื่อบล็อก NTLM relay attack โดยใช้ Active Directory Certificate Services (AD CS)
• สำหรับองค์กรที่ใช้ Windows 11 24H2 และ Windows Server 2025 ให้ใช้เครื่องมือตรวจสอบ (auditing tools) ที่ปรับปรุงใหม่เพื่อระบุจุดที่ยังมีการใช้งาน NTLM

Long Term:

• นักพัฒนาควรอัปเดตแอปพลิเคชันและบริการให้เปลี่ยนไปใช้โปรโตคอล Kerberos หรือ Negotiation authentication แทน NTLM
• วางแผนการเปลี่ยนผ่านไปสู่การยืนยันตัวตนที่ทันสมัยและแข็งแกร่งยิ่งขึ้น เช่น ระบบที่ไม่ใช้รหัสผ่านและทนทานต่อฟิชชิ่ง
• เตรียมพร้อมสำหรับ Phase 2 (ช่วงครึ่งหลังของปี 2026) ซึ่งจะมีการนำ IAKerb และ Local Key Distribution Center มาใช้เพื่อจัดการสถานการณ์ที่ NTLM ถูกใช้เป็นทางเลือกสำรอง
• เตรียมพร้อมสำหรับการปิดใช้งาน NTLM โดยค่าเริ่มต้นในอนาคต (Phase 3) โดยทำความเข้าใจว่าโปรโตคอลนี้จะยังคงอยู่ในระบบปฏิบัติการและสามารถเปิดใช้งานได้อีกครั้งผ่านนโยบายควบคุมหากจำเป็น

Source: BleepingComputer: https://www.bleepingcomputer.com/news/microsoft/microsoft-to-disable-ntlm-by-default-in-future-windows-releases/