Lỗ Hổng NTLM: Nghiêm Trọng Bị APT Khai Thác Xâm Nhập

Giao thức xác thực NTLM (New Technology LAN Manager) đã và đang là một điểm yếu cố hữu trong hệ sinh thái Windows suốt hơn hai thập kỷ. Mặc dù đã được phát hiện từ năm 2001 như một lỗ hổng lý thuyết, các lỗ hổng NTLM đã tiến hóa thành một cuộc khủng hoảng bảo mật sâu rộng, với nhiều nhóm tấn công tích cực vũ khí hóa các điểm yếu này để xâm nhập mạng lưới trên toàn cầu.

Nội dung

Tổng Quan về Giao Thức NTLM và Các Lỗ Hổng Cơ Bản

NTLM: Di Sản Xác Thực Trong Windows

Bản Chất Các Lỗ Hổng NTLM

Các Kỹ Thuật Tấn Công Phổ Biến Lợi Dụng NTLM

Rò Rỉ Hash (Hash Leakage)

Tấn Công Coercion

Pass-the-Hash và Di Chuyển Ngang

Tấn Công Man-in-the-Middle và NTLM Relay

Các Lỗ Hổng NTLM Nghiêm Trọng Đang Bị Khai Thác (2024-2025)

CVE-2024-43451: Rò Rỉ NTLMv2 Hash Qua File .url

CVE-2025-24054 và CVE-2025-24071: Tự Động Xác Thực Qua File .library-ms trong ZIP

CVE-2025-33073: Tấn Công Phản Chiếu Với Đặc Quyền SYSTEM

Chỉ Số Thỏa Hiệp (IOCs) Từ Các Chiến Dịch Khai Thác

Tác Động Lâu Dài và Biện Pháp Giảm Thiểu

Lý Do NTLM Vẫn Tồn Tại và Rủi Ro Xâm Nhập Mạng

Khuyến Nghị Bảo Mật và Quan Trọng của Bản Vá Bảo Mật

Tổng Quan về Giao Thức NTLM và Các Lỗ Hổng Cơ Bản

NTLM: Di Sản Xác Thực Trong Windows

Giao thức NTLM được thiết kế để xác thực máy khách và máy chủ trong môi trường Windows bằng cách sử dụng quy trình bắt tay ba bước. Mặc dù Microsoft đã công bố kế hoạch loại bỏ hoàn toàn NTLM, bắt đầu từ Windows 11 24H2 và Windows Server 2025, giao thức này vẫn tồn tại trong hàng triệu hệ thống hiện nay.

Sự hiện diện dai dẳng này tạo ra một cửa sổ rộng mở cho tội phạm mạng, những kẻ liên tục khám phá và khai thác các lỗ hổng mới trong các cơ chế lỗi thời của NTLM.

Bản Chất Các Lỗ Hổng NTLM

Các lỗ hổng NTLM tạo điều kiện cho một số kỹ thuật tấn công nguy hiểm. Chúng tận dụng cách NTLM xử lý việc xác thực, cho phép kẻ tấn công thu thập thông tin xác thực hoặc buộc các hệ thống thực hiện các hành động không mong muốn.

Các Kỹ Thuật Tấn Công Phổ Biến Lợi Dụng NTLM

Rò Rỉ Hash (Hash Leakage)

Rò rỉ hash xảy ra khi kẻ tấn công tạo ra các tệp tin độc hại. Các tệp này lừa Windows gửi các hash xác thực mà không yêu cầu tương tác của người dùng. Một ví dụ điển hình là các tệp .url hoặc .library-ms có thể kích hoạt kết nối đến máy chủ do kẻ tấn công kiểm soát.

Tấn Công Coercion

Các cuộc tấn công dựa trên coercion (cưỡng chế) buộc các hệ thống mục tiêu phải xác thực với các dịch vụ do kẻ tấn công kiểm soát. Điều này thường khai thác các tính năng hệ thống hợp pháp để chuyển hướng yêu cầu xác thực tới máy chủ độc hại.

Pass-the-Hash và Di Chuyển Ngang

Một khi thông tin xác thực bị chiếm đoạt, kẻ tấn công sử dụng các kỹ thuật chuyển tiếp thông tin xác thực như Pass-the-Hash. Kỹ thuật này cho phép chúng di chuyển ngang qua các mạng và leo thang đặc quyền mà không cần biết mật khẩu thực tế.

Tấn Công Man-in-the-Middle và NTLM Relay

Tấn công Man-in-the-Middle (MITM) vẫn đặc biệt hiệu quả, với NTLM relay là phương pháp gây ảnh hưởng lớn nhất trong hai thập kỷ. Kẻ tấn công tự đặt mình giữa máy khách và máy chủ để chặn lưu lượng xác thực và thu thập thông tin xác thực. Kỹ thuật này thường được dùng để chiếm quyền điều khiển tài khoản hoặc hệ thống.

Các Lỗ Hổng NTLM Nghiêm Trọng Đang Bị Khai Thác (2024-2025)

Các nhà nghiên cứu bảo mật đã xác định một số lỗ hổng NTLM nghiêm trọng đang bị khai thác tích cực trong năm 2024 và 2025. Đây là những điểm yếu có tác động lớn đến an ninh mạng toàn cầu.

CVE-2024-43451: Rò Rỉ NTLMv2 Hash Qua File .url

Lỗ hổng CVE-2024-43451 cho phép rò rỉ hash NTLMv2 thông qua các tệp .url độc hại. Chỉ cần tương tác với các tệp này – nhấp chuột, nhấp chuột phải hoặc di chuyển chúng – sẽ tự động kết nối đến máy chủ do kẻ tấn công điều hành WebDAV.

Nhóm BlindEagle APT đã khai thác lỗ hổng này để phân phối Remcos RAT tới các mục tiêu ở Colombia.
Trong khi đó, nhóm tin tặc Head Mare đã khai thác nó chống lại các tổ chức của Nga và Belarus.

CVE-2025-24054 và CVE-2025-24071: Tự Động Xác Thực Qua File .library-ms trong ZIP

Các lỗ hổng CVE-2025-24054 và CVE-2025-24071 nhắm mục tiêu vào các tệp .library-ms bên trong các kho lưu trữ ZIP. Việc tương tác với các tệp này gây ra xác thực NTLM tự động tới các máy chủ do kẻ tấn công kiểm soát.

Các nhà nghiên cứu đã phát hiện các chiến dịch ở Nga phân phối AveMaria Trojan bằng phương pháp này.

CVE-2025-33073: Tấn Công Phản Chiếu Với Đặc Quyền SYSTEM

Lỗ hổng CVE-2025-33073 đại diện cho một cuộc tấn công phản chiếu nguy hiểm. Kẻ tấn công thao túng bản ghi DNS để lừa Windows coi các yêu cầu xác thực bên ngoài là cục bộ, bỏ qua các kiểm tra bảo mật thông thường và cấp đặc quyền cấp SYSTEM.

Theo SecureList, hoạt động đáng ngờ khai thác lỗ hổng này đã được phát hiện trong lĩnh vực tài chính của Uzbekistan: https://securelist.com/ntlm-abuse-in-2025/118132/

Chỉ Số Thỏa Hiệp (IOCs) Từ Các Chiến Dịch Khai Thác

Dưới đây là tổng hợp các chỉ số thỏa hiệp (IOCs) liên quan đến các chiến dịch khai thác lỗ hổng NTLM được đề cập:

Nhóm APT: BlindEagle APT, Head Mare hacktivists
Mã độc: Remcos RAT, AveMaria Trojan
Kỹ thuật: NTLMv2 hash leakage qua .url, NTLM authentication qua .library-ms trong ZIP, NTLM reflection attack qua DNS manipulation

Tác Động Lâu Dài và Biện Pháp Giảm Thiểu

Lý Do NTLM Vẫn Tồn Tại và Rủi Ro Xâm Nhập Mạng

Mặc dù Microsoft đã khắc phục các lỗ hổng này thông qua các bản vá, giao thức cũ vẫn tiếp tục tồn tại trong các mạng doanh nghiệp, đồng nghĩa với việc các cuộc tấn công sẽ tiếp diễn. Các tổ chức vẫn duy trì NTLM để tương thích với các ứng dụng cũ đặc biệt dễ bị tổn thương. Điều này tạo ra rủi ro xâm nhập mạng đáng kể, yêu cầu các biện pháp phòng ngừa chủ động.

Khuyến Nghị Bảo Mật và Quan Trọng của Bản Vá Bảo Mật

Các nhóm bảo mật cần ưu tiên chuyển đổi sang Kerberos, triển khai phân đoạn mạng (network segmentation), và giám sát các nỗ lực xác thực đáng ngờ trên toàn bộ cơ sở hạ tầng Windows của họ. Việc áp dụng bản vá bảo mật mới nhất là cực kỳ quan trọng để bảo vệ hệ thống khỏi các lỗ hổng NTLM đã biết.