Microsoft NTLM 프로토콜의 대규모 취약점이 발견되었으며 패치만으로는 사용자를 보호할 수 없습니다.

Microsoft의 NTLM 인증 프로토콜에서 모든 Windows 시스템에서 원격 코드를 실행하거나 Exchange 또는 ADFS와 같은 WIA(Windows 통합 인증)를 지원하는 모든 웹 서버에 인증할 수 있는 대규모의 새로운 취약점이 발견되었습니다.

세 가지 논리적 결함으로 구성된 두 가지 치명적인 Microsoft 취약점이 Preempt 연구팀에 의해 발견되었습니다. 그들은 모든 Windows 버전이 취약하며 이 결함이 Microsoft가 마련한 이전 완화 조치를 우회한다고 보고합니다.

NTLM 릴레이는 Active Directory 환경에서 사용되는 가장 일반적인 공격 기술 중 하나이며 Microsoft는 이전에 NTLM 릴레이 공격을 방지하기 위한 몇 가지 완화 방법을 개발했지만 Preempt 연구원은 이러한 완화 방법에 다음과 같은 악용 가능한 결함이 있음을 발견했습니다.

MIC(메시지 무결성 코드) 필드는 공격자가 NTLM 메시지를 변조하지 않도록 합니다. 선점 연구원이 발견한 우회를 통해 공격자는 'MIC' 보호를 제거하고 서명 협상과 같은 NTLM 인증 흐름의 다양한 필드를 수정할 수 있습니다.

SMB 세션 서명은 공격자가 NTLM 인증 메시지를 릴레이하여 SMB 및 DCE/RPC 세션을 설정하는 것을 방지합니다.우회를 통해 공격자는 원격 코드 실행을 수행하기 위해 서명된 세션을 설정하는 동안 도메인 컨트롤러를 포함하여 도메인의 모든 서버에 NTLM 인증 요청을 릴레이할 수 있습니다. 릴레이된 인증이 권한 있는 사용자의 경우 전체 도메인 손상을 의미합니다.

EPA(Enhanced Protection for Authentication)는 공격자가 NTLM 메시지를 TLS 세션으로 릴레이하는 것을 방지합니다. 우회를 통해 공격자는 NTLM 메시지를 수정하여 합법적인 채널 바인딩 정보를 생성할 수 있습니다. 이를 통해 공격자는 공격받은 사용자의 권한을 사용하여 다양한 웹 서버에 연결하고 다음과 같은 작업을 수행할 수 있습니다. 사용자의 이메일 읽기(OWA 서버에 릴레이) 또는 클라우드 리소스에 연결(ADFS 서버에 릴레이).

Preempt는 문제를 해결하기 위해 화요일 패치에 CVE-2019-1040 및 CVE-2019-1019를 발표한 Microsoft에 취약성을 책임감 있게 공개했습니다. 그러나 Preempt는 이것으로 충분하지 않으며 관리자가 보호를 위해 일부 구성 변경에 영향을 주어야 한다고 경고합니다.

네트워크를 보호하려면:

1. 반점 – 워크스테이션과 서버가 제대로 패치되었는지 확인합니다.

2. 구성

• SMB 서명 시행 – 공격자가 더 간단한 NTLM 릴레이 공격을 시작하지 못하도록 하려면 네트워크의 모든 시스템에서 SMB 서명을 켭니다.
• NTLMv1 차단 – NTLMv1은 훨씬 덜 안전한 것으로 간주되기 때문에; 적절한 GPO를 설정하여 완전히 차단하는 것이 좋습니다.
• LDAP/S 서명 시행 – LDAP에서 NTLM 릴레이를 방지하려면 도메인 컨트롤러에서 LDAP 서명 및 LDAPS 채널 바인딩을 적용합니다.
• EPA 시행 – 웹 서버에서 NTLM 릴레이를 방지하려면 모든 웹 서버(OWA, ADFS)가 EPA의 요청만 수락하도록 강화합니다.

3. NTLM 사용량 줄이기 – 완벽하게 보안된 구성과 패치된 서버가 있더라도 NTLM은 Kerberos보다 훨씬 더 큰 위험을 내포합니다. 필요하지 않은 경우 NTLM을 제거하는 것이 좋습니다.

통하다 HelpNet보안