微软NTLM协议发现海量漏洞，打补丁不足以保护你

在 Microsoft 的 NTLM 身份验证协议中发现了一个巨大的新漏洞，该漏洞可能导致在任何 Windows 机器上远程执行代码或对任何支持 Windows 集成身份验证 (WIA) 的 Web 服务器（如 Exchange 或 ADFS）进行身份验证。

Preempt 研究团队发现了包含三个逻辑缺陷的两个关键 Microsoft 漏洞。 他们报告说所有 Windows 版本都存在漏洞，并且该漏洞绕过了微软之前实施的缓解措施。

NTLM Relay 是 Active Directory 环境中最常用的攻击技术之一，虽然 Microsoft 之前已经开发了几种缓解 NTLM 中继攻击的措施，但 Preempt 研究人员发现这些缓解措施具有以下可利用的缺陷：

消息完整性代码 (MIC) 字段可确保攻击者不会篡改 NTLM 消息。 Preempt 研究人员发现的绕过允许攻击者移除“MIC”保护并修改 NTLM 身份验证流程中的各个字段，例如签名协商。

SMB 会话签名可防止攻击者中继 NTLM 身份验证消息以建立 SMB 和 DCE/RPC 会话。绕过使攻击者能够将 NTLM 身份验证请求中继到域中的任何服务器，包括域控制器，同时建立签名会话以执行远程代码执行。 如果中继的身份验证是特权用户的，这意味着完全的域妥协。

增强的身份验证保护 (EPA) 可防止攻击者将 NTLM 消息中继到 TLS 会话。 绕过允许攻击者修改 NTLM 消息以生成合法的通道绑定信息。 这允许攻击者使用被攻击用户的权限连接到各种 Web 服务器并执行以下操作：读取用户的电子邮件（通过中继到 OWA 服务器）甚至连接到云资源（通过中继到 ADFS 服务器）。

Preempt 已负责任地向 Microsoft 披露了该漏洞，Microsoft 在 Patch Tuesday 上发布了 CVE-2019-1040 和 CVE-2019-1019 以解决该问题。 然而，Preempt 警告说这还不够，管理员还需要影响一些配置更改以确保保护。

保护您的网络：

1。 补丁 – 确保工作站和服务器已正确修补。

2。 配置

• 强制 SMB 签名 – 为防止攻击者发起更简单的 NTLM 中继攻击，请在网络中的所有计算机上打开 SMB 签名。
• 阻止 NTLMv1 – 由于 NTLMv1 被认为安全性显着降低； 建议通过设置适当的 GPO 来完全阻止它。
• 强制执行 LDAP/S 签名 – 要防止 LDAP 中的 NTLM 中继，请在域控制器上强制执行 LDAP 签名和 LDAPS 通道绑定。
• 执行环保署 – 为防止 Web 服务器上的 NTLM 中继，强化所有 Web 服务器（OWA、ADFS）以仅接受带有 EPA 的请求。

3. 减少 NTLM 的使用 – 即使使用完全安全的配置和修补服务器，NTLM 带来的风险也比 Kerberos 大得多。 建议您删除不需要的 NTLM。

通过 帮助网络安全