Vulnerabilidade massiva no protocolo Microsoft NTLM descoberta e a aplicação de patches não é suficiente para protegê-lo

Uma nova vulnerabilidade massiva foi encontrada no protocolo de autenticação NTLM da Microsoft, que pode resultar na execução remota de código em qualquer máquina Windows ou autenticar em qualquer servidor web que suporte a autenticação integrada do Windows (WIA), como Exchange ou ADFS.

As duas vulnerabilidades críticas da Microsoft que consistem em três falhas lógicas foram descobertas pela equipe de pesquisa Preempt. Eles relatam que todas as versões do Windows são vulneráveis ​​e que a falha ignora as mitigações anteriores que a Microsoft implementou.

O NTLM Relay é uma das técnicas de ataque mais comuns usadas em ambientes do Active Directory e, embora a Microsoft tenha desenvolvido anteriormente várias mitigações para impedir ataques de retransmissão NTLM, os pesquisadores do Preempt descobriram que essas mitigações têm as seguintes falhas exploráveis:

O campo Message Integrity Code (MIC) garante que os invasores não adulterem as mensagens NTLM. O desvio descoberto pelos pesquisadores do Preempt permite que os invasores removam a proteção 'MIC' e modifiquem vários campos no fluxo de autenticação NTLM, como negociação de assinatura.

A assinatura de sessão SMB impede que invasores transmitam mensagens de autenticação NTLM para estabelecer sessões SMB e DCE/RPC.O desvio permite que os invasores retransmitam solicitações de autenticação NTLM para qualquer servidor no domínio, incluindo controladores de domínio, enquanto estabelecem uma sessão assinada para executar a execução remota de código. Se a autenticação retransmitida for de um usuário privilegiado, isso significa comprometimento total do domínio.

A Proteção Avançada para Autenticação (EPA) impede que invasores retransmitam mensagens NTLM para sessões TLS. O desvio permite que os invasores modifiquem mensagens NTLM para gerar informações legítimas de vinculação de canal. Isso permite que os invasores se conectem a vários servidores da Web usando os privilégios do usuário atacado e executem operações como: ler os e-mails do usuário (retransmitindo para servidores OWA) ou até mesmo se conectar a recursos de nuvem (retransmitindo para servidores ADFS).

A Preempt divulgou a vulnerabilidade com responsabilidade para a Microsoft, que lançou CVE-2019-1040 e CVE-2019-1019 no Patch Tuesday para resolver o problema. Preempt, no entanto, avisa que isso não é suficiente e que os administradores também precisam afetar algumas alterações de configuração para garantir a proteção.

Para proteger sua rede:

1. Fragmento – Certifique-se de que as estações de trabalho e os servidores estejam devidamente corrigidos.

2. Configurar

• Impor assinatura SMB – Para evitar que invasores iniciem ataques de retransmissão NTLM mais simples, ative a assinatura SMB em todas as máquinas da rede.
• Bloquear NTLMv1 – Como o NTLMv1 é considerado significativamente menos seguro; é recomendável bloqueá-lo completamente definindo o GPO apropriado.
• Impor assinatura LDAP/S – Para evitar a retransmissão NTLM no LDAP, imponha a assinatura LDAP e a associação de canal LDAPS nos controladores de domínio.
• Aplicar EPA – Para evitar a retransmissão de NTLM em servidores da Web, proteja todos os servidores da Web (OWA, ADFS) para aceitar apenas solicitações com EPA.

3. Reduza o uso de NTLM – Mesmo com configuração totalmente segura e servidores corrigidos, o NTLM apresenta um risco significativamente maior do que o Kerberos. É recomendável remover o NTLM onde não for necessário.

Através da AjudaNetSegurança