התגלתה פגיעות עצומה בפרוטוקול NTLM של Microsoft, ותיקון לא מספיק כדי להגן עליך

עמוד הבית » מיקרוסופט

סמל זמן קריאה 3 דקות לקרוא

סמל לוח השנה פורסם ב

by סורור דיווידס 

פורסם ב

שתף את המאמר הזה

קוראים עוזרים לתמוך ב-MSpoweruser. אנו עשויים לקבל עמלה אם תקנה דרך הקישורים שלנו. סמל טיפים

קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד

נמצאה פגיעות עצומה חדשה בפרוטוקול האימות NTLM של מיקרוסופט, שעלולה לגרום לביצוע קוד מרחוק בכל מחשב Windows או לבצע אימות לכל שרת אינטרנט שתומך באימות משולב של Windows (WIA) כגון Exchange או ADFS.

שתי נקודות התורפה הקריטיות של מיקרוסופט המורכבות משלושה פגמים לוגיים התגלו על ידי צוות המחקר של Preempt. הם מדווחים שכל גרסאות Windows פגיעות, וכי הפגם עוקף את ההקלות הקודמות שמיקרוסופט הציגה.

NTLM Relay היא אחת מטכניקות התקיפה הנפוצות ביותר בשימוש בסביבות Active Directory, ולמרות שמיקרוסופט פיתחה בעבר כמה אמצעים למניעת התקפות ממסר NTLM, החוקרים של Preempt גילו שההקלות הללו כוללות את הפגמים הבאים שניתן לנצל:

השדה Message Integrity Code (MIC) מבטיח שתוקפים לא יפגעו בהודעות NTLM. המעקף שהתגלה על ידי חוקרי Preempt מאפשר לתוקפים להסיר את הגנת ה-'MIC' ולשנות שדות שונים בזרימת האימות של NTLM, כמו חתימה על משא ומתן.

SMB Session Signing מונעת מתוקפים להעביר הודעות אימות NTLM כדי ליצור הפעלות SMB ו-DCE/RPC.המעקף מאפשר לתוקפים להעביר בקשות אימות NTLM לכל שרת בתחום, כולל בקרי תחום, תוך יצירת הפעלה חתומה לביצוע ביצוע קוד מרחוק. אם האימות המועבר הוא של משתמש בעל הרשאות, משמעות הדבר היא פגיעה בדומיין המלא.

הגנה משופרת לאימות (EPA) מונעת מתוקפים להעביר הודעות NTLM להפעלות TLS. המעקף מאפשר לתוקפים לשנות הודעות NTLM כדי ליצור מידע לגיטימי מחייב ערוץ. זה מאפשר לתוקפים להתחבר לשרתי אינטרנט שונים באמצעות הרשאות המשתמש המותקף ולבצע פעולות כגון: קריאת המיילים של המשתמש (על ידי העברה לשרתי OWA) או אפילו להתחבר למשאבי ענן (על ידי העברה לשרתי ADFS).

Preempt חשפה באחריות את הפגיעות בפני מיקרוסופט, שפרסמה את ה-CVE-2019-1040 וה-CVE-2019-1019 ביום שלישי כדי לטפל בבעיה. Preempt עם זאת מזהיר שזה לא מספיק ושמנהלים צריכים גם להשפיע על כמה שינויים בתצורה כדי להבטיח הגנה.

כדי להגן על הרשת שלך:

1. תיקון - ודא שתחנות עבודה ושרתים מתוקנים כהלכה.

2. הגדר

  • אכיפת חתימת SMB – כדי למנוע מתוקפים להשיק התקפות ממסר פשוטות יותר של NTLM, הפעל את החתימה SMB בכל המכונות ברשת.
  • חסום את NTLMv1 – מכיוון ש-NTLMv1 נחשב פחות מאובטח משמעותית; מומלץ לחסום אותו לחלוטין על ידי הגדרת ה-GPO המתאים.
  • אכיפת חתימת LDAP/S – כדי למנוע ממסר NTLM ב-LDAP, אכוף חתימת LDAP וקשירת ערוצי LDAPS על בקרי תחום.
  • לאכוף את ה-EPA - כדי למנוע ממסר NTLM על שרתי אינטרנט, הקשיח את כל שרתי האינטרנט (OWA, ADFS) כדי לקבל רק בקשות עם EPA.

3. הפחת את השימוש ב-NTLM - אפילו עם תצורה מאובטחת מלאה ושרתים מתוקנים, NTLM מהווה סיכון גדול משמעותית מ-Kerberos. מומלץ להסיר את NTLM היכן שאין בו צורך.

בְּאֶמצָעוּת HelpNetSecurity

סורור דיווידס

סורור דיווידס מגן

מומחה לסמארטפונים

Surur Davids הוא המייסד של WMPoweruser שלימים הפך ל-MSPoweruser.com. הוא מומחה לסמארטפונים עם ניסיון של למעלה מעשור.

פורום משתמשים

0 הודעות