Otkrivena je ogromna ranjivost u Microsoft NTLM protokolu, a zakrpa nije dovoljna da vas zaštiti

Početna » microsoft

Ikona vremena čitanja 3 min. čitati

Ikona kalendara Objavljeno na

by Surur Davids 

objavljeno

Podijelite ovaj članak

Čitatelji pomažu pri podršci MSpoweruser. Možda ćemo dobiti proviziju ako kupujete putem naših veza. Ikona opisa alata

Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više

Pronađena je velika nova ranjivost u Microsoftovom NTLM protokolu za provjeru autentičnosti koja bi mogla rezultirati daljinskim izvršavanjem koda na bilo kojem Windows računalu ili provjerom autentičnosti na bilo kojem web poslužitelju koji podržava Windows Integrated Authentication (WIA) kao što je Exchange ili ADFS.

Preempt istraživački tim otkrio je dvije kritične Microsoftove ranjivosti koje se sastoje od tri logičke greške. Izvještavaju da su sve verzije sustava Windows ranjive i da nedostatak zaobilazi prethodna ublažavanja koje je Microsoft uveo.

NTLM Relay jedna je od najčešćih tehnika napada koji se koriste u okruženjima Active Directory, i dok je Microsoft prethodno razvio nekoliko mjera ublažavanja za sprječavanje NTLM relay napada, istraživači Preempta otkrili su da ta ublažavanja imaju sljedeće nedostatke koje je moguće iskoristiti:

Polje koda integriteta poruke (MIC) osigurava da napadači ne mijenjaju NTLM poruke. Premosnica koju su otkrili istraživači tvrtke Preempt omogućuje napadačima da uklone 'MIC' zaštitu i modificiraju različita polja u NTLM tijeku provjere autentičnosti, kao što je pregovaranje potpisivanja.

Potpisivanje SMB sesije sprječava napadače da prenesu NTLM poruke provjere autentičnosti kako bi uspostavili SMB i DCE/RPC sesije.Zaobilaznica omogućuje napadačima da proslijede zahtjeve za NTLM autentifikaciju na bilo koji poslužitelj u domeni, uključujući kontrolere domene, dok uspostave potpisanu sesiju za izvođenje udaljenog izvršavanja koda. Ako je proslijeđena autentifikacija privilegiranog korisnika, to znači potpuni kompromis domene.

Poboljšana zaštita za autentifikaciju (EPA) sprječava napadače da prenesu NTLM poruke na TLS sesije. Zaobilaženje omogućuje napadačima da modificiraju NTLM poruke kako bi generirali legitimne informacije o povezivanju kanala. To napadačima omogućuje povezivanje s različitim web poslužiteljima koristeći privilegije napadnutog korisnika i obavljanje operacija kao što su: čitanje e-pošte korisnika (prenosom na OWA poslužitelje) ili čak povezivanje s resursima u oblaku (prenošenjem na ADFS poslužitelje).

Preempt je odgovorno otkrio ranjivost Microsoftu, koji je izdao CVE-2019-1040 i CVE-2019-1019 u zakrpi u utorak kako bi riješio problem. Preempt međutim upozorava da to nije dovoljno i da administratori također moraju utjecati na neke promjene konfiguracije kako bi osigurali zaštitu.

Za zaštitu svoje mreže:

1. Zakrpa – Provjerite jesu li radne stanice i poslužitelji ispravno zakrpljeni.

2. Konfigurirajte

  • Provedi SMB potpisivanje – Kako biste spriječili napadače da pokrenu jednostavnije NTLM relejne napade, uključite SMB potpisivanje na svim računalima u mreži.
  • Blokirajte NTLMv1 – Budući da se NTLMv1 smatra znatno manje sigurnim; preporuča se potpuno blokirati postavljanjem odgovarajućeg GPO-a.
  • Provedi LDAP/S potpisivanje – Da biste spriječili NTLM relay u LDAP-u, nametnite LDAP potpisivanje i vezanje LDAPS kanala na kontrolerima domene.
  • Provedite EPA – Kako biste spriječili NTLM relay na web poslužiteljima, očvrsnite sve web poslužitelje (OWA, ADFS) da prihvaćaju samo zahtjeve s EPA.

3. Smanjite upotrebu NTLM-a – Čak i s potpuno zaštićenom konfiguracijom i zakrpanim poslužiteljima, NTLM predstavlja znatno veći rizik od Kerberosa. Preporuča se da uklonite NTLM tamo gdje nije potreban.

Preko HelpNetSecurity

Surur Davids

Surur Davids Štit

Stručnjak za pametne telefone

Surur Davids je osnivač WMPoweruser koji je kasnije postao MSPoweruser.com. On je stručnjak za pametne telefone s više od desetljeća iskustva.

Korisnički forum

0 poruke