Kerentanan besar dalam protokol Microsoft NTLM ditemukan, dan patch tidak cukup untuk melindungi Anda

Kerentanan baru yang besar telah ditemukan dalam protokol otentikasi NTLM Microsoft yang dapat mengakibatkan eksekusi kode jarak jauh pada mesin Windows mana pun atau mengautentikasi ke server web mana pun yang mendukung Windows Integrated Authentication (WIA) seperti Exchange atau ADFS.

Dua kerentanan kritis Microsoft yang terdiri dari tiga kelemahan logis ditemukan oleh tim peneliti Preempt. Mereka melaporkan semua versi Windows rentan, dan bahwa kelemahannya melewati mitigasi sebelumnya yang dilakukan Microsoft.

Relay NTLM adalah salah satu teknik serangan paling umum yang digunakan di lingkungan Active Directory, dan sementara Microsoft sebelumnya telah mengembangkan beberapa mitigasi untuk mencegah serangan relai NTLM, peneliti Preempt menemukan bahwa mitigasi tersebut memiliki kelemahan yang dapat dieksploitasi berikut:

Bidang Kode Integritas Pesan (MIC) memastikan bahwa penyerang tidak merusak pesan NTLM. Bypass yang ditemukan oleh peneliti Preempt memungkinkan penyerang untuk menghapus perlindungan 'MIC' dan memodifikasi berbagai bidang dalam alur otentikasi NTLM, seperti negosiasi penandatanganan.

Penandatanganan Sesi SMB mencegah penyerang menyampaikan pesan otentikasi NTLM untuk membuat sesi SMB dan DCE/RPC.Bypass memungkinkan penyerang untuk menyampaikan permintaan otentikasi NTLM ke server mana pun di domain, termasuk pengontrol domain, sambil membuat sesi yang ditandatangani untuk melakukan eksekusi kode jarak jauh. Jika otentikasi yang diteruskan adalah pengguna yang memiliki hak istimewa, ini berarti kompromi domain penuh.

Enhanced Protection for Authentication (EPA) mencegah penyerang menyampaikan pesan NTLM ke sesi TLS. Bypass memungkinkan penyerang untuk memodifikasi pesan NTLM untuk menghasilkan informasi pengikatan saluran yang sah. Hal ini memungkinkan penyerang untuk terhubung ke berbagai server web menggunakan hak istimewa pengguna yang diserang dan melakukan operasi seperti: membaca email pengguna (dengan menyampaikan ke server OWA) atau bahkan terhubung ke sumber daya cloud (dengan menyampaikan ke server ADFS).

Preempt secara bertanggung jawab mengungkapkan kerentanan terhadap Microsoft, yang merilis CVE-2019-1040 dan CVE-2019-1019 yang dikeluarkan pada Patch Tuesday untuk mengatasi masalah tersebut. Namun Preempt memperingatkan bahwa ini tidak cukup dan bahwa admin juga perlu memengaruhi beberapa perubahan konfigurasi untuk memastikan perlindungan.

Untuk melindungi jaringan Anda:

1. Tambalan – Pastikan bahwa workstation dan server ditambal dengan benar.

2. Konfigurasikan

• Terapkan Penandatanganan UKM – Untuk mencegah penyerang meluncurkan serangan relai NTLM yang lebih sederhana, aktifkan Penandatanganan SMB di semua mesin di jaringan.
• Blokir NTLMv1 – Karena NTLMv1 dianggap kurang aman secara signifikan; disarankan untuk memblokirnya sepenuhnya dengan mengatur GPO yang sesuai.
• Terapkan Penandatanganan LDAP/S – Untuk mencegah relai NTLM di LDAP, terapkan penandatanganan LDAP dan pengikatan saluran LDAPS pada pengontrol domain.
• Terapkan EPA – Untuk mencegah relai NTLM di server web, keraskan semua server web (OWA, ADFS) agar hanya menerima permintaan dengan EPA.

3. Kurangi penggunaan NTLM – Bahkan dengan konfigurasi yang sepenuhnya aman dan server yang ditambal, NTLM menimbulkan risiko yang jauh lebih besar daripada Kerberos. Disarankan agar Anda menghapus NTLM di tempat yang tidak diperlukan.

melalui HelpNetKeamanan