Odkrita ogromna ranljivost v protokolu Microsoft NTLM in popravek ni dovolj, da bi vas zaščitil

Domov » Microsoft

Ikona časa branja 3 min. prebrati

Ikona koledarja Objavljeno dne

by Surur Davids 

Objavljeno dne

Dajte v skupno rabo ta članek

Bralci pomagajo pri podpori MSpoweruser. Če kupujete prek naših povezav, lahko prejmemo provizijo. Ikona opisa orodja

Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več

V Microsoftovem protokolu za preverjanje pristnosti NTLM je bila odkrita velika nova ranljivost, ki bi lahko povzročila oddaljeno izvajanje kode na katerem koli računalniku Windows ali overjanje na katerem koli spletnem strežniku, ki podpira vgrajeno preverjanje pristnosti Windows (WIA), kot sta Exchange ali ADFS.

Raziskovalna skupina Preempt je odkrila dve kritični Microsoftovi ranljivosti, ki sta sestavljeni iz treh logičnih napak. Poročajo, da so vse različice operacijskega sistema Windows ranljive in da napaka zaobide prejšnje ublažitve, ki jih je uvedel Microsoft.

NTLM Relay je ena najpogostejših tehnik napadov, ki se uporabljajo v okoljih Active Directory, in medtem ko je Microsoft že razvil več ublažitev za preprečevanje relejnih napadov NTLM, so raziskovalci Preempta odkrili, da imajo te ublažitve naslednje pomanjkljivosti, ki jih je mogoče izkoristiti:

Polje kode integritete sporočila (MIC) zagotavlja, da napadalci ne posegajo v sporočila NTLM. Obhod, ki so ga odkrili raziskovalci Preempt, omogoča napadalcem, da odstranijo zaščito 'MIC' in spremenijo različna polja v toku preverjanja pristnosti NTLM, kot je pogajanja o podpisu.

Podpisovanje seje SMB preprečuje napadalcem posredovanje sporočil za preverjanje pristnosti NTLM za vzpostavitev sej SMB in DCE/RPC.Obhod omogoča napadalcem, da posredujejo zahteve za preverjanje pristnosti NTLM na kateri koli strežnik v domeni, vključno s krmilniki domen, hkrati pa vzpostavijo podpisano sejo za izvajanje oddaljene izvedbe kode. Če je posredovano preverjanje pristnosti privilegiranega uporabnika, to pomeni popolno ogroženost domene.

Izboljšana zaščita za preverjanje pristnosti (EPA) preprečuje napadalcem posredovanje sporočil NTLM v seje TLS. Obhod omogoča napadalcem, da spremenijo sporočila NTLM, da ustvarijo zakonite informacije o vezavi kanala. To napadalcem omogoča, da se z uporabo privilegijev napadenega uporabnika povežejo z različnimi spletnimi strežniki in izvedejo operacije, kot so: branje uporabnikove elektronske pošte (s posredovanjem na strežnike OWA) ali celo povezovanje z viri v oblaku (s posredovanjem na strežnike ADFS).

Preempt je ranljivost odgovorno razkril Microsoftu, ki je v torek izdal izdani CVE-2019-1040 in CVE-2019-1019, da bi rešil to težavo. Preempt pa opozarja, da to ni dovolj in da morajo skrbniki vplivati ​​tudi na nekatere spremembe konfiguracije, da zagotovijo zaščito.

Za zaščito vašega omrežja:

1. Obliž – Prepričajte se, da so delovne postaje in strežniki pravilno zakrpani.

2. Konfiguriraj

  • Uveljavite podpisovanje SMB – Če želite preprečiti napadalcem, da bi sprožili enostavnejše napade releja NTLM, vklopite SMB Signing na vseh računalnikih v omrežju.
  • Blokiraj NTLMv1 – Ker NTLMv1 velja za bistveno manj varnega; priporočamo, da ga popolnoma blokirate z nastavitvijo ustreznega GPO.
  • Uveljavi podpisovanje LDAP/S – Če želite preprečiti rele NTLM v LDAP, uveljavite podpisovanje LDAP in vezavo kanala LDAPS na krmilnikih domen.
  • Uveljavi EPA – Če želite preprečiti prenos NTLM na spletnih strežnikih, utrdite vse spletne strežnike (OWA, ADFS), da sprejemajo samo zahteve z EPA.

3. Zmanjšajte uporabo NTLM – Tudi s popolnoma zaščiteno konfiguracijo in popravljenimi strežniki predstavlja NTLM bistveno večje tveganje kot Kerberos. Priporočljivo je, da odstranite NTLM, kjer ni potreben.

Via HelpNetSecurity

Surur Davids

Surur Davids Shield

Strokovnjak za pametne telefone

Surur Davids je ustanovitelj WMPoweruser, ki je kasneje postal MSPoweruser.com. Je strokovnjak za pametne telefone z več kot desetletnimi izkušnjami.

Uporabniški forum

Sporočila 0