آسیب پذیری عظیم در پروتکل NTLM مایکروسافت کشف شد و وصله برای محافظت از شما کافی نیست

صفحه اصلی » مایکروسافت

نماد زمان خواندن 3 دقیقه خواندن

نماد تقویم منتشر شده در

by سورور دیویدز 

منتشر شده در

این مقاله را به اشتراک بگذارید

خوانندگان به پشتیبانی از MSpoweruser کمک می کنند. در صورت خرید از طریق پیوندهای ما ممکن است کمیسیون دریافت کنیم. نماد راهنمای ابزار

صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب

یک آسیب‌پذیری عظیم جدید در پروتکل احراز هویت NTLM مایکروسافت یافت شده است که می‌تواند منجر به اجرای کد از راه دور در هر دستگاه ویندوز یا احراز هویت به هر وب سروری شود که از احراز هویت یکپارچه ویندوز (WIA) مانند Exchange یا ADFS پشتیبانی می‌کند.

دو آسیب‌پذیری مهم مایکروسافت که از سه نقص منطقی تشکیل شده‌اند توسط تیم تحقیقاتی Preempt کشف شدند. آنها گزارش می دهند که تمام نسخه های ویندوز آسیب پذیر هستند و این نقص از اقدامات قبلی مایکروسافت دور می زند.

رله NTLM یکی از رایج‌ترین تکنیک‌های حمله مورد استفاده در محیط‌های اکتیو دایرکتوری است، و در حالی که مایکروسافت قبلا چندین روش کاهش برای جلوگیری از حملات رله NTLM ایجاد کرده است، محققان Preempt متوجه شدند که این کاهش‌ها دارای نقص‌های قابل بهره‌برداری زیر هستند:

قسمت پیام یکپارچگی کد (MIC) تضمین می کند که مهاجمان پیام های NTLM را دستکاری نمی کنند. بای پس کشف شده توسط محققان Preempt به مهاجمان اجازه می دهد تا حفاظت "MIC" را حذف کرده و زمینه های مختلف در جریان احراز هویت NTLM را اصلاح کنند، مانند مذاکره امضا.

SMB Session Signing از مهاجمان از انتقال پیام های احراز هویت NTLM برای ایجاد جلسات SMB و DCE/RPC جلوگیری می کند.بای‌پس مهاجمان را قادر می‌سازد تا درخواست‌های احراز هویت NTLM را به هر سروری در دامنه، از جمله کنترل‌کننده‌های دامنه، ارسال کنند، در حالی که یک جلسه امضا شده برای اجرای کد از راه دور ایجاد می‌کنند. اگر احراز هویت رله شده از یک کاربر ممتاز باشد، این به معنای به خطر افتادن کامل دامنه است.

حفاظت پیشرفته برای احراز هویت (EPA) از انتقال پیام‌های NTLM به جلسات TLS توسط مهاجمان جلوگیری می‌کند. بای پس به مهاجمان اجازه می دهد تا پیام های NTLM را برای تولید اطلاعات اتصال کانال قانونی اصلاح کنند. این به مهاجمان اجازه می دهد تا با استفاده از امتیازات کاربر مورد حمله به وب سرورهای مختلف متصل شوند و عملیاتی مانند: خواندن ایمیل های کاربر (با انتقال به سرورهای OWA) یا حتی اتصال به منابع ابری (از طریق انتقال به سرورهای ADFS) را انجام دهند.

Preempt به طور مسئولانه این آسیب‌پذیری را برای مایکروسافت فاش کرده است، مایکروسافت نسخه‌های CVE-2019-1040 و CVE-2019-1019 را در روز سه‌شنبه برای رفع مشکل منتشر کرد. با این حال، Preempt هشدار می دهد که این کافی نیست و مدیران نیز باید بر برخی تغییرات پیکربندی برای اطمینان از محافظت تأثیر بگذارند.

برای محافظت از شبکه خود:

1 وصله – مطمئن شوید که ایستگاه های کاری و سرورها به درستی وصله شده اند.

2. پیکربندی کنید

  • امضای SMB را اجرا کنید – برای جلوگیری از حمله مهاجمان از راه‌اندازی حملات رله NTLM ساده‌تر، SMB Signing را در همه ماشین‌های شبکه روشن کنید.
  • NTLMv1 را مسدود کنید - از آنجایی که NTLMv1 به طور قابل توجهی کمتر امن در نظر گرفته می شود. توصیه می شود با تنظیم GPO مناسب آن را به طور کامل مسدود کنید.
  • امضای LDAP/S را اجرا کنید - برای جلوگیری از رله NTLM در LDAP، امضای LDAP و اتصال کانال LDAPS را در کنترل کننده های دامنه اعمال کنید.
  • اجرای EPA – برای جلوگیری از رله NTLM در سرورهای وب، همه سرورهای وب (OWA، ADFS) را سخت کنید تا فقط درخواست‌های EPA را بپذیرند.

3. استفاده از NTLM را کاهش دهید - حتی با پیکربندی کاملاً ایمن و سرورهای وصله‌شده، NTLM خطر بسیار بیشتری نسبت به Kerberos دارد. توصیه می شود NTLM را در جایی که نیازی به آن نیست حذف کنید.

از طريق HelpNetSecurity

سورور دیویدز

سورور دیویدز سپر

کارشناس گوشی های هوشمند

Surur Davids بنیانگذار WMPoweruser است که بعداً به MSPoweruser.com تبدیل شد. او یک متخصص گوشی های هوشمند با بیش از یک دهه تجربه است.

انجمن کاربر

پیام 0