En enorm sårbarhet i Microsoft NTLM-protokollet upptäcktes, och patchning räcker inte för att skydda dig

Hem » Microsoft

Lästid ikon 3 min. läsa

Kalenderikonen Publicerad den

by Surur Davids 

publicerad den

Dela den här artikeln

Läsare hjälper till att stödja MSpoweruser. Vi kan få en provision om du köper via våra länkar. Verktygstipsikon

Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer

En massiv ny sårbarhet har hittats i Microsofts NTLM-autentiseringsprotokoll som kan resultera i fjärrkörning av kod på valfri Windows-dator eller autentisera till valfri webbserver som stöder Windows Integrated Authentication (WIA) som Exchange eller ADFS.

De två kritiska Microsoft-sårbarheterna som består av tre logiska brister upptäcktes av Preempt-forskarteamet. De rapporterar att alla Windows-versioner är sårbara och att felet kringgår tidigare begränsningar som Microsoft har infört.

NTLM Relay är en av de vanligaste attackteknikerna som används i Active Directory-miljöer, och medan Microsoft tidigare har utvecklat flera begränsningar för att förhindra NTLM reläattacker, upptäckte Preempt-forskarna att dessa begränsningar har följande exploateringsbara brister:

Fältet Message Integrity Code (MIC) säkerställer att angripare inte manipulerar NTLM-meddelanden. Den förbikoppling som upptäckts av Preempt-forskare tillåter angripare att ta bort "MIC"-skyddet och ändra olika fält i NTLM-autentiseringsflödet, till exempel undertecknande av förhandling.

SMB-sessionssignering förhindrar angripare från att vidarebefordra NTLM-autentiseringsmeddelanden för att upprätta SMB- och DCE/RPC-sessioner.Förbikopplingen gör det möjligt för angripare att vidarebefordra NTLM-autentiseringsbegäranden till valfri server på domänen, inklusive domänkontrollanter, samtidigt som de upprättar en signerad session för att utföra fjärrkörning av kod. Om den vidarebefordrade autentiseringen är av en privilegierad användare, innebär detta fullständig domänkompromettering.

Enhanced Protection for Authentication (EPA) förhindrar angripare från att vidarebefordra NTLM-meddelanden till TLS-sessioner. Förbikopplingen tillåter angripare att modifiera NTLM-meddelanden för att generera legitim kanalbindningsinformation. Detta gör att angripare kan ansluta till olika webbservrar med hjälp av den attackerade användarens privilegier och utföra operationer som: läsa användarens e-postmeddelanden (genom att vidarebefordra till OWA-servrar) eller till och med ansluta till molnresurser (genom att vidarebefordra till ADFS-servrar).

Preempt har på ett ansvarsfullt sätt avslöjat sårbarheten för Microsoft, som släppte utfärdade CVE-2019-1040 och CVE-2019-1019 på Patch Tuesday för att lösa problemet. Preempt varnar dock för att detta inte är tillräckligt och att administratörer också måste påverka vissa konfigurationsändringar för att säkerställa skyddet.

Så här skyddar du ditt nätverk:

1. Lappa – Se till att arbetsstationer och servrar är korrekt patchade.

2. konfigurera

  • Framtvinga SMB-signering – För att förhindra angripare från att starta enklare NTLM-reläattacker, aktivera SMB-signering på alla datorer i nätverket.
  • Blockera NTLMv1 – Eftersom NTLMv1 anses vara betydligt mindre säker; det rekommenderas att helt blockera den genom att ställa in lämplig GPO.
  • Framtvinga LDAP/S-signering – För att förhindra NTLM-relä i LDAP, framtvinga LDAP-signering och LDAPS-kanalbindning på domänkontrollanter.
  • Genomför EPA – För att förhindra NTLM-relä på webbservrar, härda alla webbservrar (OWA, ADFS) så att de endast accepterar förfrågningar med EPA.

3. Minska NTLM-användningen – Även med helt säker konfiguration och patchade servrar utgör NTLM en betydligt större risk än Kerberos. Det rekommenderas att du tar bort NTLM där det inte behövs.

Via HelpNetSecurity

Surur Davids

Surur Davids Sköld

Smartphone expert

Surur Davids är grundaren av WMPoweruser som senare blev MSPoweruser.com. Han är en smartphoneexpert med över ett decenniums erfarenhet.

Användarforum

0 meddelanden