Enorme kwetsbaarheid in Microsoft NTLM-protocol ontdekt en patchen is niet voldoende om u te beschermen
3 minuut. lezen
Uitgegeven op
deel dit artikel
Verbeter deze handleiding
Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer
Er is een enorme nieuwe kwetsbaarheid gevonden in het NTLM-authenticatieprotocol van Microsoft dat kan leiden tot het uitvoeren van externe code op elke Windows-machine of authenticatie op elke webserver die Windows Integrated Authentication (WIA) ondersteunt, zoals Exchange of ADFS.
De twee kritieke Microsoft-kwetsbaarheden die uit drie logische fouten bestaan, zijn ontdekt door het onderzoeksteam van Preempt. Ze melden dat alle Windows-versies kwetsbaar zijn en dat de fout eerdere oplossingen omzeilt die Microsoft heeft ingevoerd.
NTLM Relay is een van de meest voorkomende aanvalstechnieken die in Active Directory-omgevingen worden gebruikt, en hoewel Microsoft eerder verschillende oplossingen heeft ontwikkeld om NTLM-relayaanvallen te voorkomen, ontdekten de Preempt-onderzoekers dat deze oplossingen de volgende misbruikbare fouten bevatten:
Het veld Message Integrity Code (MIC) zorgt ervoor dat aanvallers niet knoeien met NTLM-berichten. De bypass die door Preempt-onderzoekers is ontdekt, stelt aanvallers in staat om de 'MIC'-beveiliging te verwijderen en verschillende velden in de NTLM-authenticatiestroom aan te passen, zoals ondertekeningsonderhandelingen.
SMB Session Signing voorkomt dat aanvallers NTLM-authenticatieberichten doorsturen om SMB- en DCE/RPC-sessies tot stand te brengen.De bypass stelt aanvallers in staat om NTLM-verificatieverzoeken door te sturen naar elke server in het domein, inclusief domeincontrollers, terwijl ze een ondertekende sessie tot stand brengen om externe code-uitvoering uit te voeren. Als de doorgestuurde authenticatie van een bevoorrechte gebruiker is, betekent dit dat het domein volledig is aangetast.
Enhanced Protection for Authentication (EPA) voorkomt dat aanvallers NTLM-berichten doorsturen naar TLS-sessies. Met de bypass kunnen aanvallers NTLM-berichten wijzigen om legitieme kanaalbindingsinformatie te genereren. Hierdoor kunnen aanvallers verbinding maken met verschillende webservers met behulp van de privileges van de aangevallen gebruiker en bewerkingen uitvoeren zoals: de e-mails van de gebruiker lezen (door door te sturen naar OWA-servers) of zelfs verbinding te maken met cloudbronnen (door door te sturen naar ADFS-servers).
Preempt heeft de kwetsbaarheid op verantwoorde wijze bekendgemaakt aan Microsoft, die op Patch Tuesday de uitgegeven CVE-2019-1040 en CVE-2019-1019 heeft uitgebracht om het probleem aan te pakken. Preempt waarschuwt echter dat dit niet genoeg is en dat beheerders ook enkele configuratiewijzigingen moeten doorvoeren om bescherming te garanderen.
Om uw netwerk te beschermen:
1. patch – Zorg ervoor dat werkstations en servers correct zijn gepatcht.
2. configureren
- SMB-ondertekening afdwingen – Om te voorkomen dat aanvallers eenvoudigere NTLM-relay-aanvallen starten, schakelt u SMB-ondertekening in op alle machines in het netwerk.
- Blokkeer NTLMv1 – Aangezien NTLMv1 als aanzienlijk minder veilig wordt beschouwd; het wordt aanbevolen om het volledig te blokkeren door het juiste GPO in te stellen.
- LDAP/S-ondertekening afdwingen – Om NTLM-relay in LDAP te voorkomen, moet u LDAP-ondertekening en LDAPS-kanaalbinding op domeincontrollers afdwingen.
- EPA afdwingen – Om NTLM-relay op webservers te voorkomen, verhardt u alle webservers (OWA, ADFS) om alleen verzoeken met EPA te accepteren.
3. Verminder NTLM-gebruik – Zelfs met volledig beveiligde configuratie en gepatchte servers vormt NTLM een aanzienlijk groter risico dan Kerberos. Het wordt aanbevolen dat u NTLM verwijdert waar dit niet nodig is.
Gebruikersforum
0 berichten