Hatalmas sebezhetőséget fedeztek fel a Microsoft NTLM-protokollban, és a javítás nem elegendő az Ön védelméhez

Hatalmas új sérülékenységet találtak a Microsoft NTLM hitelesítési protokolljában, amely távoli kódfuttatást eredményezhet bármely Windows rendszerű számítógépen, vagy bármely olyan webszerveren hitelesíthető, amely támogatja a Windows integrált hitelesítését (WIA), például az Exchange vagy az ADFS.

A Microsoft két kritikus biztonsági rését, amelyek három logikai hibából állnak, a Preempt kutatócsoport fedezte fel. Beszámoltak arról, hogy a Windows összes verziója sebezhető, és a hiba megkerüli a Microsoft által bevezetett korábbi enyhítéseket.

Az NTLM Relay az egyik legelterjedtebb Active Directory-környezetben használt támadási technika, és bár a Microsoft korábban több enyhítő eszközt is kifejlesztett az NTLM továbbítási támadások megelőzésére, a Preempt kutatói felfedezték, hogy ezek a mérséklések a következő kihasználható hibákkal rendelkeznek:

A Message Integrity Code (MIC) mező biztosítja, hogy a támadók ne módosítsák az NTLM-üzeneteket. A Preempt kutatói által felfedezett bypass lehetővé teszi a támadók számára, hogy eltávolítsák a „MIC” védelmet, és módosítsák az NTLM hitelesítési folyamat különböző mezőit, például az aláírási egyeztetést.

Az SMB Session Signing megakadályozza, hogy a támadók NTLM hitelesítési üzeneteket továbbítsanak SMB és DCE/RPC munkamenetek létrehozásához.A bypass lehetővé teszi a támadók számára, hogy NTLM-hitelesítési kéréseket továbbítsanak a tartomány bármely kiszolgálójához, beleértve a tartományvezérlőket is, miközben aláírt munkamenetet hoznak létre a távoli kódvégrehajtáshoz. Ha a továbbított hitelesítés egy privilegizált felhasználóé, ez teljes tartományi kompromisszumot jelent.

Az Enhanced Protection for Authentication (EPA) megakadályozza, hogy a támadók NTLM-üzeneteket továbbítsanak a TLS-munkamenetekhez. A bypass lehetővé teszi a támadók számára, hogy módosítsák az NTLM-üzeneteket, hogy legitim csatorna-összerendelési információkat generáljanak. Ez lehetővé teszi a támadók számára, hogy a megtámadott felhasználó jogosultságait használva csatlakozzanak különböző webszerverekhez, és olyan műveleteket hajtsanak végre, mint például: elolvassák a felhasználó e-mailjeit (az OWA-szerverekhez továbbítva), vagy akár felhő-erőforrásokhoz is kapcsolódjanak (ADFS-kiszolgálókhoz való továbbítással).

A Preempt felelősségteljesen felfedte a sebezhetőséget a Microsoft felé, amely a javítás keddi napján kiadta a CVE-2019-1040 és CVE-2019-1019 számú kiadást a probléma megoldására. A Preempt azonban figyelmeztet, hogy ez nem elég, és az adminisztrátoroknak néhány konfigurációs változtatást is módosítaniuk kell a védelem biztosítása érdekében.

A hálózat védelme érdekében:

1. Tapasz – Győződjön meg arról, hogy a munkaállomások és a szerverek megfelelően vannak javítva.

2. Konfigurálja

• SMB-aláírás kényszerítése – Ha meg szeretné akadályozni, hogy a támadók egyszerűbb NTLM-továbbítási támadásokat indítsanak, kapcsolja be az SMB-aláírást a hálózat összes gépén.
• NTLMv1 letiltása – Mivel az NTLMv1 lényegesen kevésbé biztonságos; ajánlott teljesen blokkolni a megfelelő csoportházirend-objektum beállításával.
• LDAP/S-aláírás kényszerítése – Az NTLM-továbbítás LDAP-ban történő megakadályozása érdekében kényszerítse ki az LDAP-aláírást és az LDAPS-csatorna-összerendelést a tartományvezérlőkön.
• Az EPA érvényesítése – Az NTLM továbbítás megakadályozása érdekében a webszervereken állítsa be az összes webszervert (OWA, ADFS) úgy, hogy csak az EPA-n keresztül érkező kéréseket fogadja el.

3. Csökkentse az NTLM-használatot – Az NTLM még teljesen biztonságos konfigurációval és javított szerverekkel is lényegesen nagyobb kockázatot jelent, mint a Kerberos. Javasoljuk, hogy távolítsa el az NTLM-et ott, ahol nincs rá szükség.

Keresztül HelpNetSecurity