S-a descoperit o vulnerabilitate masivă în protocolul Microsoft NTLM, iar corecția nu este suficientă pentru a vă proteja
3 min. citit
Publicat în data de
Distribuiți acest articol
Îmbunătățiți acest ghid
Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Afla mai multe
O nouă vulnerabilitate masivă a fost găsită în protocolul de autentificare NTLM al Microsoft, care ar putea duce la executarea de cod de la distanță pe orice computer Windows sau autentificarea la orice server web care acceptă Windows Integrated Authentication (WIA), cum ar fi Exchange sau ADFS.
Cele două vulnerabilități critice Microsoft care constau în trei defecte logice au fost descoperite de echipa de cercetare Preempt. Ei raportează că toate versiunile Windows sunt vulnerabile și că defectul ocolește atenuările anterioare pe care Microsoft le-a pus în aplicare.
NTLM Relay este una dintre cele mai frecvente tehnici de atac utilizate în mediile Active Directory și, în timp ce Microsoft a dezvoltat anterior mai multe măsuri de atenuare pentru prevenirea atacurilor de releu NTLM, cercetătorii Preempt au descoperit că aceste atenuări au următoarele defecte exploatabile:
Câmpul Message Integrity Code (MIC) asigură că atacatorii nu modifică mesajele NTLM. Bypass-ul descoperit de cercetătorii Preempt permite atacatorilor să elimine protecția „MIC” și să modifice diferite câmpuri din fluxul de autentificare NTLM, cum ar fi negocierea semnării.
Semnarea sesiunii SMB împiedică atacatorii să transmită mesaje de autentificare NTLM pentru a stabili sesiuni SMB și DCE/RPC.Bypass-ul permite atacatorilor să transmită cereri de autentificare NTLM către orice server din domeniu, inclusiv controlere de domeniu, în timp ce stabilesc o sesiune semnată pentru a efectua execuția de cod de la distanță. Dacă autentificarea transmisă este a unui utilizator privilegiat, aceasta înseamnă compromis complet al domeniului.
Protecția îmbunătățită pentru autentificare (EPA) împiedică atacatorii să transmită mesaje NTLM către sesiunile TLS. Bypass-ul permite atacatorilor să modifice mesajele NTLM pentru a genera informații legitime de legare a canalului. Acest lucru permite atacatorilor să se conecteze la diverse servere web folosind privilegiile utilizatorului atacat și să efectueze operațiuni precum: să citească e-mailurile utilizatorului (prin retransmitere către servere OWA) sau chiar să se conecteze la resurse cloud (prin retransmitere către servere ADFS).
Preempt a dezvăluit în mod responsabil vulnerabilitatea către Microsoft, care a lansat CVE-2019-1040 și CVE-2019-1019 în Patch Tuesday pentru a rezolva problema. Cu toate acestea, Preempt avertizează că acest lucru nu este suficient și că administratorii trebuie să afecteze și unele modificări de configurare pentru a asigura protecție.
Pentru a vă proteja rețeaua:
1. Plasture – Asigurați-vă că stațiile de lucru și serverele sunt corectate corect.
2. Configurați
- Implementați semnarea IMM-urilor – Pentru a preveni atacatorii să lanseze atacuri de retransmisie NTLM mai simple, activați Semnarea SMB pe toate mașinile din rețea.
- Blocați NTLMv1 – Deoarece NTLMv1 este considerat semnificativ mai puțin sigur; este recomandat să îl blocați complet prin setarea GPO-ului corespunzător.
- Implementați semnarea LDAP/S – Pentru a preveni retransmiterea NTLM în LDAP, impuneți semnarea LDAP și legarea canalului LDAPS pe controlerele de domeniu.
- Aplicați EPA – Pentru a preveni retransmiterea NTLM pe serverele web, întăriți toate serverele web (OWA, ADFS) pentru a accepta numai cereri cu EPA.
3. Reduceți utilizarea NTLM – Chiar și cu o configurație complet securizată și servere corelate, NTLM prezintă un risc semnificativ mai mare decât Kerberos. Se recomandă să eliminați NTLM acolo unde nu este necesar.
Prin intermediul HelpNetSecurity
Forumul utilizatorilor
0 mesaje