Đã phát hiện ra lỗ hổng lớn trong giao thức NTLM của Microsoft và việc vá lỗi không đủ để bảo vệ bạn

Một lỗ hổng mới lớn đã được tìm thấy trong giao thức xác thực NTLM của Microsoft, giao thức này có thể dẫn đến việc thực thi mã từ xa trên bất kỳ máy Windows nào hoặc xác thực với bất kỳ máy chủ web nào hỗ trợ Xác thực tích hợp Windows (WIA) như Exchange hoặc ADFS.

Hai lỗ hổng nghiêm trọng của Microsoft bao gồm ba lỗ hổng logic đã được nhóm nghiên cứu Preempt phát hiện. Họ báo cáo rằng tất cả các phiên bản Windows đều dễ bị tấn công và lỗ hổng này đã vượt qua các biện pháp giảm nhẹ trước đó mà Microsoft đưa ra.

NTLM Relay là một trong những kỹ thuật tấn công phổ biến nhất được sử dụng trong môi trường Active Directory và trong khi Microsoft trước đây đã phát triển một số biện pháp giảm nhẹ để ngăn chặn các cuộc tấn công chuyển tiếp NTLM, các nhà nghiên cứu của Preempt đã phát hiện ra những biện pháp giảm nhẹ đó có những lỗ hổng có thể khai thác sau:

Trường Mã toàn vẹn của Thư (MIC) đảm bảo rằng những kẻ tấn công không giả mạo các thư NTLM. Các nhà nghiên cứu của Preempt đã phát hiện ra cách vượt qua này cho phép những kẻ tấn công loại bỏ bảo vệ 'MIC' và sửa đổi các trường khác nhau trong quy trình xác thực NTLM, chẳng hạn như đàm phán ký kết.

SMB Session Signing ngăn những kẻ tấn công chuyển tiếp các thông báo xác thực NTLM để thiết lập các phiên SMB và DCE / RPC.Phương thức bỏ qua cho phép kẻ tấn công chuyển tiếp các yêu cầu xác thực NTLM tới bất kỳ máy chủ nào trong miền, bao gồm cả bộ điều khiển miền, đồng thời thiết lập phiên đã ký để thực hiện mã từ xa. Nếu xác thực được chuyển tiếp là của người dùng có đặc quyền, điều này có nghĩa là toàn bộ miền bị xâm phạm.

Bảo vệ nâng cao để xác thực (EPA) ngăn những kẻ tấn công chuyển tiếp các thông điệp NTLM đến các phiên TLS. Việc bỏ qua cho phép những kẻ tấn công sửa đổi các thông điệp NTLM để tạo ra thông tin ràng buộc kênh hợp pháp. Điều này cho phép kẻ tấn công kết nối với các máy chủ web khác nhau bằng cách sử dụng các đặc quyền của người dùng bị tấn công và thực hiện các hoạt động như: đọc email của người dùng (bằng cách chuyển tiếp đến máy chủ OWA) hoặc thậm chí kết nối với tài nguyên đám mây (bằng cách chuyển tiếp đến máy chủ ADFS).

Preempt đã tiết lộ lỗ hổng bảo mật một cách có trách nhiệm cho Microsoft, người đã phát hành CVE-2019-1040 và CVE-2019-1019 vào Bản vá thứ ba để giải quyết vấn đề. Tuy nhiên, Preempt cảnh báo rằng điều này là chưa đủ và quản trị viên cũng cần phải tác động đến một số thay đổi cấu hình để đảm bảo bảo vệ.

Để bảo vệ mạng của bạn:

1. Vá - Đảm bảo rằng các máy trạm và máy chủ được vá đúng cách.

2. Định cấu hình

• Thực thi ký kết SMB - Để ngăn kẻ tấn công khởi chạy các cuộc tấn công chuyển tiếp NTLM đơn giản hơn, hãy bật Đăng ký SMB trên tất cả các máy trong mạng.
• Chặn NTLMv1 - Vì NTLMv1 được coi là kém an toàn hơn đáng kể; bạn nên chặn hoàn toàn nó bằng cách đặt GPO thích hợp.
• Thực thi ký LDAP / S - Để ngăn chuyển tiếp NTLM trong LDAP, thực thi ký LDAP và ràng buộc kênh LDAPS trên bộ điều khiển miền.
• Thực thi EPA - Để ngăn chuyển tiếp NTLM trên các máy chủ web, hãy làm cứng tất cả các máy chủ web (OWA, ADFS) để chỉ chấp nhận các yêu cầu với EPA.

3. Giảm mức sử dụng NTLM - Ngay cả với cấu hình được bảo mật hoàn toàn và các máy chủ được vá lỗi, NTLM gây ra rủi ro lớn hơn đáng kể so với Kerberos. Chúng tôi khuyên bạn nên loại bỏ NTLM ở những nơi không cần thiết.

Thông qua HelpNetSecurity