Microsoft NTLM protokolünde büyük güvenlik açığı keşfedildi ve yama uygulaması sizi korumak için yeterli değil

Microsoft'un NTLM kimlik doğrulama protokolünde, herhangi bir Windows makinesinde uzaktan kod yürütülmesine veya Exchange veya ADFS gibi Windows Tümleşik Kimlik Doğrulamayı (WIA) destekleyen herhangi bir web sunucusunda kimlik doğrulamasına neden olabilecek büyük bir yeni güvenlik açığı bulundu.

Üç mantıksal kusurdan oluşan iki kritik Microsoft güvenlik açığı, Preempt araştırma ekibi tarafından keşfedildi. Tüm Windows sürümlerinin güvenlik açığı olduğunu ve kusurun Microsoft'un uyguladığı önceki azaltmaları atladığını bildiriyorlar.

NTLM Geçişi, Active Directory ortamlarında kullanılan en yaygın saldırı tekniklerinden biridir ve Microsoft daha önce NTLM geçiş saldırılarını önlemek için birkaç azaltma geliştirmiş olsa da, Preempt araştırmacıları bu azaltmaların aşağıdaki açıklardan yararlanılabilir kusurlara sahip olduğunu keşfetti:

İleti Bütünlüğü Kodu (MIC) alanı, saldırganların NTLM iletilerini kurcalamamasını sağlar. Preempt araştırmacıları tarafından keşfedilen geçiş, saldırganların 'MIC' korumasını kaldırmasına ve NTLM kimlik doğrulama akışındaki imzalama anlaşması gibi çeşitli alanları değiştirmesine olanak tanır.

SMB Oturum İmzalama, saldırganların SMB ve DCE/RPC oturumları oluşturmak için NTLM kimlik doğrulama iletilerini geçirmesini engeller.Atlama, saldırganların, uzaktan kod yürütme gerçekleştirmek için imzalı bir oturum oluştururken, etki alanı denetleyicileri dahil olmak üzere etki alanındaki herhangi bir sunucuya NTLM kimlik doğrulama isteklerini iletmesine olanak tanır. Aktarılan kimlik doğrulama ayrıcalıklı bir kullanıcıya aitse, bu tam etki alanı güvenliği anlamına gelir.

Gelişmiş Kimlik Doğrulama Koruması (EPA), saldırganların NTLM mesajlarını TLS oturumlarına geçirmesini engeller. Atlama, saldırganların meşru kanal bağlama bilgileri oluşturmak için NTLM mesajlarını değiştirmesine izin verir. Bu, saldırganların saldırıya uğrayan kullanıcının ayrıcalıklarını kullanarak çeşitli web sunucularına bağlanmasına ve aşağıdaki gibi işlemleri gerçekleştirmesine olanak tanır: kullanıcının e-postalarını okuma (OWA sunucularına aktararak) veya hatta bulut kaynaklarına bağlanma (ADFS sunucularına aktararak).

Preempt, güvenlik açığını sorumlu bir şekilde, sorunu çözmek için Salı günü Yamada yayınlanan CVE-2019-1040 ve CVE-2019-1019'u yayınlayan Microsoft'a açıkladı. Ancak Preempt, bunun yeterli olmadığı ve yöneticilerin korumayı sağlamak için bazı yapılandırma değişikliklerini etkilemesi gerektiği konusunda uyarır.

Ağınızı korumak için:

1. Yama – İş istasyonlarının ve sunucuların düzgün şekilde yamalandığından emin olun.

2. Yapılandır

• KOBİ İmzalamayı Zorla – Saldırganların daha basit NTLM geçiş saldırıları başlatmasını önlemek için ağdaki tüm makinelerde SMB İmzalamayı açın.
• NTLMv1'i engelle – NTLMv1 önemli ölçüde daha az güvenli olarak kabul edildiğinden; uygun GPO'yu ayarlayarak tamamen engellemeniz önerilir.
• LDAP/S İmzalamayı Zorunlu Kıl – LDAP'de NTLM geçişini önlemek için, etki alanı denetleyicilerinde LDAP imzalamayı ve LDAPS kanalı bağlamayı zorunlu kılın.
• EPA'yı uygula – Web sunucularında NTLM geçişini önlemek için tüm web sunucularını (OWA, ADFS) yalnızca EPA ile istekleri kabul edecek şekilde sağlamlaştırın.

3. NTLM kullanımını azaltın – Tamamen güvenli yapılandırma ve yama uygulanmış sunucularda bile NTLM, Kerberos'tan çok daha büyük bir risk oluşturur. NTLM'yi gerekmeyen yerlerde kaldırmanız önerilir.

Üzerinden HelpNetGüvenlik