Objavila sa obrovská zraniteľnosť v protokole NTLM od spoločnosti Microsoft a oprava nepostačuje na vašu ochranu

Domov » Microsoft

Ikona času čítania 3 min. čítať

Ikona kalendára Publikované dňa

by Surur Davids 

publikované dňa

Zdieľajte tento článok

Čítačky pomáhajú podporovať MSpoweruser. Ak nakupujete prostredníctvom našich odkazov, môžeme získať províziu. Ikona popisu

Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac

V autentifikačnom protokole NTLM od spoločnosti Microsoft sa našla nová obrovská zraniteľnosť, ktorá by mohla viesť k vzdialenému spusteniu kódu na akomkoľvek počítači so systémom Windows alebo k overeniu na ľubovoľnom webovom serveri, ktorý podporuje integrovanú autentifikáciu systému Windows (WIA), ako napríklad Exchange alebo ADFS.

Výskumný tím Preempt objavil dve kritické zraniteľnosti spoločnosti Microsoft, ktoré pozostávajú z troch logických chýb. Uvádzajú, že všetky verzie systému Windows sú zraniteľné a že chyba obchádza predchádzajúce opatrenia, ktoré spoločnosť Microsoft zaviedla.

NTLM Relay je jednou z najbežnejších techník útoku používaných v prostrediach Active Directory, a hoci spoločnosť Microsoft predtým vyvinula niekoľko zmierňujúcich opatrení na zabránenie útokom NTLM relé, výskumníci Preempt zistili, že tieto zmiernenia majú nasledujúce zneužiteľné chyby:

Pole Message Integrity Code (MIC) zabezpečuje, že útočníci nemanipulujú so správami NTLM. Obídenie objavené výskumníkmi Preempt umožňuje útočníkom odstrániť ochranu „MIC“ a upraviť rôzne polia v toku autentifikácie NTLM, ako je vyjednávanie podpisu.

Podpisovanie relácií SMB bráni útočníkom v prenose overovacích správ NTLM na vytvorenie relácií SMB a DCE/RPC.Obídenie umožňuje útočníkom prenášať požiadavky na overenie NTLM na ľubovoľný server v doméne, vrátane radičov domény, pri vytváraní podpísanej relácie na vykonávanie vzdialeného spustenia kódu. Ak je prenosová autentifikácia privilegovaného používateľa, znamená to úplné ohrozenie domény.

Enhanced Protection for Authentication (EPA) bráni útočníkom prenášať správy NTLM do relácií TLS. Obídenie umožňuje útočníkom upravovať správy NTLM tak, aby generovali legitímne informácie o väzbe kanála. To umožňuje útočníkom pripojiť sa k rôznym webovým serverom pomocou privilégií napadnutého používateľa a vykonávať operácie, ako napríklad: čítať e-maily používateľa (prenosom na servery OWA) alebo sa dokonca pripojiť ku cloudovým zdrojom (prenosom na servery ADFS).

Preempt zodpovedne odhalil zraniteľnosť spoločnosti Microsoft, ktorá vydala vydané CVE-2019-1040 a CVE-2019-1019 v Patch Tuesday, aby vyriešila tento problém. Preempt však varuje, že to nestačí a že správcovia musia tiež ovplyvniť niektoré zmeny konfigurácie, aby zabezpečili ochranu.

Na ochranu siete:

1. Náplasť – Uistite sa, že sú pracovné stanice a servery správne opravené.

2. konfigurácia

  • Vynútiť podpisovanie SMB – Ak chcete útočníkom zabrániť v spúšťaní jednoduchších NTLM prenosových útokov, zapnite prihlasovanie SMB na všetkých počítačoch v sieti.
  • Blokovať NTLMv1 – Keďže NTLMv1 sa považuje za výrazne menej bezpečný; odporúča sa ho úplne zablokovať nastavením príslušného GPO.
  • Vynútiť podpisovanie LDAP/S – Ak chcete zabrániť prenosu NTLM v LDAP, vynucujte podpisovanie LDAP a viazanie kanálov LDAPS na radičoch domény.
  • Presadzovať EPA – Aby ste zabránili prenosu NTLM na webových serveroch, posilnite všetky webové servery (OWA, ADFS), aby prijímali iba požiadavky s EPA.

3. Znížte používanie NTLM – Aj pri plne zabezpečenej konfigurácii a opravených serveroch predstavuje NTLM podstatne väčšie riziko ako Kerberos. Odporúča sa odstrániť NTLM tam, kde to nie je potrebné.

Cez HelpNetSecurity

Surur Davids

Surur Davids Shield

Expert na smartfóny

Surur Davids je zakladateľom WMPoweruser, ktorý sa neskôr stal MSPoweruser.com. Je to odborník na smartfóny s viac ako desaťročnými skúsenosťami.

Používateľské fórum

0 správy