Byla objevena rozsáhlá zranitelnost v protokolu Microsoft NTLM a záplatování nestačí k vaší ochraně

V ověřovacím protokolu NTLM společnosti Microsoft byla nalezena nová masivní chyba zabezpečení, která by mohla vést ke vzdálenému spuštění kódu na jakémkoli počítači se systémem Windows nebo k ověření na jakémkoli webovém serveru, který podporuje integrované ověřování systému Windows (WIA), jako je Exchange nebo ADFS.

Výzkumný tým Preempt objevil dvě kritické zranitelnosti Microsoftu, které se skládají ze tří logických chyb. Uvádějí, že všechny verze Windows jsou zranitelné a že chyba obchází předchozí zmírnění, která společnost Microsoft zavedla.

NTLM Relay je jednou z nejběžnějších technik útoku používaných v prostředích Active Directory, a přestože společnost Microsoft již dříve vyvinula několik zmírnění pro zabránění útokům NTLM relay, výzkumníci Preempt zjistili, že tato zmírnění mají následující zneužitelné chyby:

Pole Message Integrity Code (MIC) zajišťuje, že útočníci nemanipulují se zprávami NTLM. Obejití objevené výzkumníky Preempt umožňuje útočníkům odstranit ochranu „MIC“ a upravit různá pole v toku ověřování NTLM, jako je vyjednávání podepisování.

Podepisování relací SMB brání útočníkům předávat ověřovací zprávy NTLM za účelem vytvoření relací SMB a DCE/RPC.Obejití umožňuje útočníkům předávat požadavky na ověření NTLM libovolnému serveru v doméně, včetně řadičů domény, a zároveň vytvořit podepsanou relaci k provedení vzdáleného spuštění kódu. Pokud je předávané ověřování privilegovaného uživatele, znamená to úplné ohrožení domény.

Enhanced Protection for Authentication (EPA) zabraňuje útočníkům předávat zprávy NTLM relacím TLS. Obejití umožňuje útočníkům upravovat zprávy NTLM tak, aby generovaly legitimní informace o vazbě kanálu. To umožňuje útočníkům připojit se k různým webovým serverům pomocí oprávnění napadeného uživatele a provádět operace, jako je: čtení e-mailů uživatele (přenosem na servery OWA) nebo dokonce připojení ke cloudovým zdrojům (přenosem na servery ADFS).

Preempt zodpovědně odhalil zranitelnost společnosti Microsoft, která vydala vydané CVE-2019-1040 a CVE-2019-1019 v Patch Tuesday, aby problém vyřešila. Preempt však varuje, že to nestačí a že správci také musí ovlivnit některé změny konfigurace, aby zajistili ochranu.

Pro ochranu vaší sítě:

1. Náplast – Ujistěte se, že jsou pracovní stanice a servery správně opraveny.

2. Nakonfigurujte

• Vynutit podepisování SMB – Chcete-li útočníkům zabránit ve spouštění jednodušších přenosových útoků NTLM, zapněte podepisování SMB na všech počítačích v síti.
• Blokovat NTLMv1 – Protože NTLMv1 je považován za výrazně méně bezpečný; je doporučeno jej zcela zablokovat nastavením příslušného GPO.
• Vynutit podepisování LDAP/S – Chcete-li zabránit přenosu NTLM v LDAP, vynucujte podepisování LDAP a vazbu kanálu LDAPS na řadičích domény.
• Prosadit EPA – Chcete-li zabránit přenosu NTLM na webových serverech, zpevněte všechny webové servery (OWA, ADFS), aby přijímaly pouze požadavky s EPA.

3. Snižte využití NTLM – I při plně zabezpečené konfiguraci a opravených serverech představuje NTLM výrazně větší riziko než Kerberos. Doporučuje se odstranit NTLM tam, kde není potřeba.

Přes HelpNetSecurity