Microsoft NTLMプロトコルに重大な脆弱性が発見され、パッチを適用するだけでは保護できません

MicrosoftのNTLM認証プロトコルに大規模な新しい脆弱性が発見されました。これにより、任意のWindowsマシンでリモートコードが実行されたり、ExchangeやADFSなどのWindows統合認証（WIA）をサポートする任意のWebサーバーに対して認証されたりする可能性があります。

XNUMXつの論理的な欠陥で構成されるXNUMXつの重大なマイクロソフトの脆弱性は、プリエンプト調査チームによって発見されました。 彼らは、すべてのWindowsバージョンが脆弱であり、この欠陥がMicrosoftが実施した以前の緩和策を回避していると報告しています。

NTLMリレーは、Active Directory環境で使用される最も一般的な攻撃手法のXNUMXつであり、Microsoftは以前にNTLMリレー攻撃を防ぐためのいくつかの緩和策を開発しましたが、Preemptの研究者は、これらの緩和策に次の悪用可能な欠陥があることを発見しました。

メッセージ整合性コード（MIC）フィールドは、攻撃者がNTLMメッセージを改ざんしないようにします。 プリエンプトの研究者によって発見されたバイパスにより、攻撃者は「MIC」保護を削除し、ネゴシエーションへの署名など​​、NTLM認証フローのさまざまなフィールドを変更できます。

SMBセッション署名は、攻撃者がNTLM認証メッセージを中継してSMBおよびDCE/RPCセッションを確立することを防ぎます。バイパスにより、攻撃者は、リモートコード実行を実行するための署名されたセッションを確立しながら、ドメイン内の任意のサーバー（ドメインコントローラーを含む）にNTLM認証要求を中継できます。 中継された認証が特権ユーザーのものである場合、これは完全なドメイン侵害を意味します。

Enhanced Protection for Authentication（EPA）は、攻撃者がNTLMメッセージをTLSセッションに中継するのを防ぎます。 バイパスにより、攻撃者はNTLMメッセージを変更して、正当なチャネルバインディング情報を生成できます。 これにより、攻撃者は攻撃されたユーザーの特権を使用してさまざまなWebサーバーに接続し、ユーザーの電子メールを読み取る（OWAサーバーに中継する）、さらにはクラウドリソースに接続する（ADFSサーバーに中継する）などの操作を実行できます。

Preemptは、この問題に対処するために火曜日のパッチで発行されたCVE-2019-1040およびCVE-2019-1019をリリースしたMicrosoftに責任を持って脆弱性を開示しました。 ただし、プリエンプトは、これでは不十分であり、管理者も保護を確実にするためにいくつかの構成変更に影響を与える必要があることを警告します。

ネットワークを保護するには：

1.パッチ –ワークステーションとサーバーに適切なパッチが適用されていることを確認します。

2。 設定

• SMB署名を実施する –攻撃者がより単純なNTLMリレー攻撃を開始するのを防ぐために、ネットワーク内のすべてのマシンでSMB署名をオンにします。
• NTLMv1をブロックする – NTLMv1は安全性が大幅に低いと見なされているため、 適切なGPOを設定して、完全にブロックすることをお勧めします。
• LDAP/S署名を適用する – LDAPでNTLMリレーを防止するには、ドメインコントローラーにLDAP署名とLDAPSチャネルバインディングを適用します。
• EPAを施行する – WebサーバーでのNTLMリレーを防ぐには、すべてのWebサーバー（OWA、ADFS）を強化して、EPAを使用した要求のみを受け入れるようにします。

3.NTLMの使用量を減らします –完全に保護された構成とパッチが適用されたサーバーを使用しても、NTLMはKerberosよりもはるかに大きなリスクをもたらします。 不要な場所でNTLMを削除することをお勧めします。

ビア HelpNetセキュリティ