Wykryto ogromną lukę w protokole Microsoft NTLM, a łatanie nie wystarczy, aby Cię chronić

W protokole uwierzytelniania NTLM firmy Microsoft wykryto nową ogromną lukę, która może spowodować zdalne wykonanie kodu na dowolnym komputerze z systemem Windows lub uwierzytelnienie na dowolnym serwerze sieciowym obsługującym zintegrowane uwierzytelnianie systemu Windows (WIA), takim jak Exchange lub ADFS.

Zespół badawczy Preempt wykrył dwie krytyczne luki w zabezpieczeniach Microsoftu, które składają się z trzech błędów logicznych. Zgłaszają, że wszystkie wersje systemu Windows są podatne na ataki, a usterka omija poprzednie rozwiązania wprowadzone przez Microsoft.

NTLM Relay jest jedną z najczęstszych technik ataków wykorzystywanych w środowiskach Active Directory i chociaż firma Microsoft opracowała wcześniej kilka rozwiązań zapobiegających atakom NTLM relay, badacze Preempt odkryli, że te rozwiązania mają następujące możliwe do wykorzystania wady:

Pole Message Integrity Code (MIC) zapewnia, że ​​osoby atakujące nie manipulują wiadomościami NTLM. Obejście wykryte przez badaczy Preempt umożliwia atakującym usunięcie zabezpieczenia „MIC” i zmodyfikowanie różnych pól w przepływie uwierzytelniania NTLM, takich jak negocjacje podpisywania.

Podpisywanie sesji SMB uniemożliwia atakującym przekazywanie wiadomości uwierzytelniających NTLM w celu ustanowienia sesji SMB i DCE/RPC.Obejście umożliwia atakującym przekazywanie żądań uwierzytelnienia NTLM do dowolnego serwera w domenie, w tym kontrolerów domeny, podczas ustanawiania podpisanej sesji w celu zdalnego wykonania kodu. Jeśli uwierzytelnianie przekazywane dotyczy użytkownika uprzywilejowanego, oznacza to pełne naruszenie domeny.

Ulepszona ochrona uwierzytelniania (EPA) uniemożliwia atakującym przekazywanie wiadomości NTLM do sesji TLS. Obejście umożliwia atakującym modyfikowanie wiadomości NTLM w celu generowania prawidłowych informacji o powiązaniu kanału. Dzięki temu osoby atakujące mogą łączyć się z różnymi serwerami WWW przy użyciu uprawnień zaatakowanego użytkownika i wykonywać operacje takie jak: odczytywanie wiadomości e-mail użytkownika (poprzez przekazywanie do serwerów OWA) lub nawet łączenie się z zasobami w chmurze (poprzez przekazywanie do serwerów ADFS).

Firma Preempt odpowiedzialnie ujawniła lukę w zabezpieczeniach firmie Microsoft, która we wtorek opublikowała wydania CVE-2019-1040 i CVE-2019-1019 w celu rozwiązania problemu. Preempt ostrzega jednak, że to nie wystarczy i że administratorzy muszą również wpłynąć na niektóre zmiany konfiguracji, aby zapewnić ochronę.

Aby chronić swoją sieć:

1. Łatka – Upewnij się, że stacje robocze i serwery są odpowiednio załatane.

2. Skonfiguruj

• Wymuszaj podpisywanie SMB – Aby uniemożliwić atakującym przeprowadzanie prostszych ataków przekazywania NTLM, włącz podpisywanie SMB na wszystkich komputerach w sieci.
• Blokuj NTLMv1 – Ponieważ NTLMv1 jest uważany za znacznie mniej bezpieczny; zaleca się całkowite zablokowanie go poprzez ustawienie odpowiedniego obiektu GPO.
• Wymuszaj podpisywanie LDAP/S – Aby zapobiec przekazywaniu NTLM w LDAP, wymuś podpisywanie LDAP i powiązanie kanału LDAPS na kontrolerach domeny.
• Egzekwuj EPA – Aby zapobiec przekazywaniu NTLM na serwerach sieci Web, wzmocnij wszystkie serwery sieci Web (OWA, ADFS), aby akceptowały tylko żądania z EPA.

3. Zmniejsz użycie NTLM – Nawet przy w pełni zabezpieczonej konfiguracji i załatanych serwerach NTLM stwarza znacznie większe ryzyko niż Kerberos. Zaleca się usunięcie NTLM tam, gdzie nie jest potrzebne.

Przez HelpNetSecurity