-
09/04/2020
-
122
-
1.295 bài viết
NTLM - Giao thức 20 năm tuổi vẫn là “cửa ngõ vàng” cho hacker tấn công Windows
Hai thập kỷ sau khi lần đầu được cảnh báo, giao thức xác thực NTLM của Windows vẫn tiếp tục trở thành điểm yếu nghiêm trọng trong hàng triệu hệ thống trên toàn thế giới. Điều từng bị coi là một lỗ hổng lý thuyết vào năm 2001, nay đã biến thành cuộc khủng hoảng bảo mật rõ rệt, khi nhiều chiến dịch tấn công đang khai thác NTLM để đánh cắp danh tính, chiếm quyền hệ thống và xâm nhập sâu vào mạng doanh nghiệp.
Microsoft đã tuyên bố loại bỏ NTLM trong Windows 11 24H2 và Windows Server 2025. Tuy nhiên, thực tế là hàng loạt tổ chức vẫn phụ thuộc vào các dịch vụ cũ, khiến giao thức này tiếp tục hiện diện trong hệ thống và mở ra cơ hội tấn công cho tin tặc.
NTLM (New Technology LAN Manager) là giao thức xác thực ra đời từ những năm 1990, dựa trên cơ chế “bắt tay ba bước” giữa máy khách và máy chủ. Dù đã lỗi thời và kém an toàn hơn nhiều so với Kerberos, NTLM vẫn được sử dụng rộng rãi vì ràng buộc với các ứng dụng cũ.
Sự tồn tại dài hạn này khiến NTLM trở thành “mảnh đất vàng” cho hacker. Nhiều kỹ thuật tấn công tiếp tục được phát hiện dựa trên việc đánh cắp, chuyển tiếp hoặc ép buộc Windows gửi thông tin xác thực mà người dùng không hề hay biết. Các nhóm tấn công trên nhiều khu vực đều đang khai thác NTLM theo những cách ngày càng tinh vi.
Một trong những kỹ thuật nguy hiểm nhất là rò rỉ hash (hash leakage). Tin tặc tạo các tập tin được thiết kế đặc biệt như .url hoặc .library-ms, chỉ cần người dùng mở, nhấp chuột, thậm chí chỉ rê chuột là Windows tự động gửi hash NTLM đến máy chủ WebDAV do hacker kiểm soát. Hash này sau đó được sử dụng để đăng nhập vào các dịch vụ nội bộ qua kỹ thuật Pass-the-Hash mà không cần biết mật khẩu thật.
Bên cạnh đó, nhiều chiến dịch còn sử dụng tấn công NTLM coercion, tức ép hệ thống tự động xác thực đến máy chủ của kẻ tấn công. Khi đã có được quyền truy cập, tin tặc dễ dàng mở rộng kiểm soát, di chuyển ngang và leo thang đặc quyền.
Đáng lo ngại hơn, lỗ hổng CVE-2025-33073 cho phép kẻ tấn công thao túng DNS để khiến Windows hiểu nhầm rằng yêu cầu xác thực đến từ nội bộ. Chỉ với một bước chuyển tiếp, hacker có thể nhận được quyền SYSTEM.
Trong suốt 2 năm qua, nhiều lỗ hổng NTLM đã bị khai thác tích cực:
Dù Microsoft đã lên kế hoạch loại bỏ, NTLM vẫn tồn tại do hai nguyên nhân chính. Hàng loạt phần mềm cũ trong doanh nghiệp chưa sẵn sàng chuyển sang Kerberos. Và trong nhiều môi trường hỗn hợp hoặc hệ thống kế thừa, NTLM vẫn được bật để duy trì khả năng tương thích. Điều này giống như việc lỗ hổng đã được nhìn thấy rõ ràng nhưng doanh nghiệp chưa thể đóng lại vì “chạm vào đâu cũng vướng”.
NTLM cho phép tin tặc tấn công mà không cần khai thác lỗi trong ứng dụng hay lừa người dùng nhập mật khẩu. Ngay cả khi người dùng cẩn thận, không mở email lạ hoặc không tải file đáng ngờ, hệ thống vẫn có thể bị đánh cắp thông tin chỉ bằng một cú nhấp chuột vô tình.
Với doanh nghiệp, nguy cơ lớn nhất nằm ở khả năng tin tặc leo thang đặc quyền và chiếm quyền toàn bộ domain. Hệ quả có thể là đánh cắp dữ liệu, triển khai mã độc tống tiền hoặc phá hoại hệ thống.
Mặc dù NTLM sẽ dần bị loại bỏ, trong thời gian hiện tại người dùng vẫn cần chủ động bảo vệ mình. Các chuyên gia khuyến cáo:
Microsoft đã tuyên bố loại bỏ NTLM trong Windows 11 24H2 và Windows Server 2025. Tuy nhiên, thực tế là hàng loạt tổ chức vẫn phụ thuộc vào các dịch vụ cũ, khiến giao thức này tiếp tục hiện diện trong hệ thống và mở ra cơ hội tấn công cho tin tặc.
NTLM (New Technology LAN Manager) là giao thức xác thực ra đời từ những năm 1990, dựa trên cơ chế “bắt tay ba bước” giữa máy khách và máy chủ. Dù đã lỗi thời và kém an toàn hơn nhiều so với Kerberos, NTLM vẫn được sử dụng rộng rãi vì ràng buộc với các ứng dụng cũ.
Sự tồn tại dài hạn này khiến NTLM trở thành “mảnh đất vàng” cho hacker. Nhiều kỹ thuật tấn công tiếp tục được phát hiện dựa trên việc đánh cắp, chuyển tiếp hoặc ép buộc Windows gửi thông tin xác thực mà người dùng không hề hay biết. Các nhóm tấn công trên nhiều khu vực đều đang khai thác NTLM theo những cách ngày càng tinh vi.
Một trong những kỹ thuật nguy hiểm nhất là rò rỉ hash (hash leakage). Tin tặc tạo các tập tin được thiết kế đặc biệt như .url hoặc .library-ms, chỉ cần người dùng mở, nhấp chuột, thậm chí chỉ rê chuột là Windows tự động gửi hash NTLM đến máy chủ WebDAV do hacker kiểm soát. Hash này sau đó được sử dụng để đăng nhập vào các dịch vụ nội bộ qua kỹ thuật Pass-the-Hash mà không cần biết mật khẩu thật.
Bên cạnh đó, nhiều chiến dịch còn sử dụng tấn công NTLM coercion, tức ép hệ thống tự động xác thực đến máy chủ của kẻ tấn công. Khi đã có được quyền truy cập, tin tặc dễ dàng mở rộng kiểm soát, di chuyển ngang và leo thang đặc quyền.
Đáng lo ngại hơn, lỗ hổng CVE-2025-33073 cho phép kẻ tấn công thao túng DNS để khiến Windows hiểu nhầm rằng yêu cầu xác thực đến từ nội bộ. Chỉ với một bước chuyển tiếp, hacker có thể nhận được quyền SYSTEM.
Trong suốt 2 năm qua, nhiều lỗ hổng NTLM đã bị khai thác tích cực:
- CVE-2024-43451: Lợi dụng file ".url" để rò rỉ NTLMv2. BlindEagle đã dùng nó để phát tán Remcos RAT ở Colombia; nhóm Head Mare sử dụng để tấn công tổ chức Nga và Belarus.
- CVE-2025-24054 và CVE-2025-24071: Nhúng file ".library-ms" trong ZIP, khiến Windows tự gửi hash NTLM khi người dùng mở file. Chiến dịch phát tán Trojan AveMaria được ghi nhận tại Nga.
- CVE-2025-33073: Thực hiện tấn công phản chiếu (reflection), thao túng DNS để chiếm đặc quyền SYSTEM. Một sự cố lớn đã được ghi nhận trong lĩnh vực tài chính tại Uzbekistan.
Dù Microsoft đã lên kế hoạch loại bỏ, NTLM vẫn tồn tại do hai nguyên nhân chính. Hàng loạt phần mềm cũ trong doanh nghiệp chưa sẵn sàng chuyển sang Kerberos. Và trong nhiều môi trường hỗn hợp hoặc hệ thống kế thừa, NTLM vẫn được bật để duy trì khả năng tương thích. Điều này giống như việc lỗ hổng đã được nhìn thấy rõ ràng nhưng doanh nghiệp chưa thể đóng lại vì “chạm vào đâu cũng vướng”.
NTLM cho phép tin tặc tấn công mà không cần khai thác lỗi trong ứng dụng hay lừa người dùng nhập mật khẩu. Ngay cả khi người dùng cẩn thận, không mở email lạ hoặc không tải file đáng ngờ, hệ thống vẫn có thể bị đánh cắp thông tin chỉ bằng một cú nhấp chuột vô tình.
Với doanh nghiệp, nguy cơ lớn nhất nằm ở khả năng tin tặc leo thang đặc quyền và chiếm quyền toàn bộ domain. Hệ quả có thể là đánh cắp dữ liệu, triển khai mã độc tống tiền hoặc phá hoại hệ thống.
Mặc dù NTLM sẽ dần bị loại bỏ, trong thời gian hiện tại người dùng vẫn cần chủ động bảo vệ mình. Các chuyên gia khuyến cáo:
- Vô hiệu hóa NTLM nếu hệ thống cho phép, và chuyển các dịch vụ sang Kerberos.
- Giám sát và khóa các kết nối WebDAV không cần thiết.
- Cẩn trọng với file ".url", ".library-ms", ".lnk" hoặc file trong ZIP đính kèm email.
- Cập nhật bản vá bảo mật mới nhất của Windows.
- Sử dụng phần mềm bảo mật doanh nghiệp có khả năng giám sát hành vi, thay vì chỉ dựa vào công cụ mặc định.
WhiteHat