MinhSec
Writer
Ngày 11/9/2025, Thượng nghị sĩ Mỹ Ron Wyden kêu gọi Ủy ban Thương mại Liên bang (FTC) điều tra Microsoft, cho rằng công ty này đã để mặc nhiều rủi ro bảo mật tồn tại suốt hơn một thập kỷ. Theo ông, các cấu hình mặc định trong Windows và việc tiếp tục hỗ trợ thuật toán mã hóa RC4 đã góp phần dẫn đến hàng loạt vụ tấn công ransomware, trong đó có sự cố nhằm vào hệ thống bệnh viện Ascension hồi tháng 5/2024.
Kỹ thuật được tin tặc sử dụng trong nhiều vụ tấn công là Kerberoasting phương thức khai thác giao thức xác thực Kerberos của Active Directory để lấy hash tài khoản dịch vụ, rồi bẻ khóa ngoại tuyến nhằm chiếm quyền đặc biệt. Nhiều chuyên gia nhận định, nguy cơ tăng cao khi doanh nghiệp vẫn để nguyên cài đặt cũ hoặc dùng RC4 thay vì AES an toàn hơn.
Microsoft phản hồi rằng RC4 đã lỗi thời nhưng không thể vô hiệu hóa ngay vì nhiều hệ thống của khách hàng còn phụ thuộc. Công ty khẳng định đang giảm dần phạm vi hỗ trợ, đồng thời cung cấp cảnh báo và hướng dẫn cho người dùng.
Giới chuyên môn có quan điểm trái chiều. Một số đồng tình với Wyden, cho rằng Microsoft cần mạnh tay hơn trong việc loại bỏ các chuẩn cũ và phổ biến thông tin rõ ràng. Số khác nhấn mạnh đây cũng là trách nhiệm của tổ chức vận hành Active Directory: họ cần cập nhật, tắt thuật toán yếu và đặt mật khẩu đủ mạnh cho tài khoản dịch vụ.
Kerberoasting không phải kỹ thuật mới, đã tồn tại hơn 10 năm. Việc nó vẫn phát huy hiệu quả cho thấy khoảng trống trong quản trị hạ tầng CNTT. Để giảm rủi ro, chuyên gia khuyến nghị:
Kỹ thuật được tin tặc sử dụng trong nhiều vụ tấn công là Kerberoasting phương thức khai thác giao thức xác thực Kerberos của Active Directory để lấy hash tài khoản dịch vụ, rồi bẻ khóa ngoại tuyến nhằm chiếm quyền đặc biệt. Nhiều chuyên gia nhận định, nguy cơ tăng cao khi doanh nghiệp vẫn để nguyên cài đặt cũ hoặc dùng RC4 thay vì AES an toàn hơn.
Microsoft phản hồi rằng RC4 đã lỗi thời nhưng không thể vô hiệu hóa ngay vì nhiều hệ thống của khách hàng còn phụ thuộc. Công ty khẳng định đang giảm dần phạm vi hỗ trợ, đồng thời cung cấp cảnh báo và hướng dẫn cho người dùng.
Trách nhiệm chia sẻ giữa nhà cung cấp và tổ chức sử dụng
Giới chuyên môn có quan điểm trái chiều. Một số đồng tình với Wyden, cho rằng Microsoft cần mạnh tay hơn trong việc loại bỏ các chuẩn cũ và phổ biến thông tin rõ ràng. Số khác nhấn mạnh đây cũng là trách nhiệm của tổ chức vận hành Active Directory: họ cần cập nhật, tắt thuật toán yếu và đặt mật khẩu đủ mạnh cho tài khoản dịch vụ.
Kerberoasting không phải kỹ thuật mới, đã tồn tại hơn 10 năm. Việc nó vẫn phát huy hiệu quả cho thấy khoảng trống trong quản trị hạ tầng CNTT. Để giảm rủi ro, chuyên gia khuyến nghị:
- Chuyển sang AES, vô hiệu hóa RC4/DES.
- Áp dụng baseline bảo mật và hướng dẫn hardening cho Windows/AD.
- Theo dõi sự kiện Kerberos bất thường, xoay vòng mật khẩu định kỳ.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview