微軟NTLM協議發現海量漏洞，打補丁不足以保護你

在 Microsoft 的 NTLM 身份驗證協議中發現了一個巨大的新漏洞，該漏洞可能導致在任何 Windows 機器上遠程執行代碼或對任何支持 Windows 集成身份驗證 (WIA) 的 Web 服務器（如 Exchange 或 ADFS）進行身份驗證。

Preempt 研究團隊發現了包含三個邏輯缺陷的兩個關鍵 Microsoft 漏洞。 他們報告說所有 Windows 版本都存在漏洞，並且該漏洞繞過了微軟之前實施的緩解措施。

NTLM Relay 是 Active Directory 環境中最常用的攻擊技術之一，雖然 Microsoft 之前已經開發了幾種緩解 NTLM 中繼攻擊的措施，但 Preempt 研究人員發現這些緩解措施具有以下可利用的缺陷：

消息完整性代碼 (MIC) 字段可確保攻擊者不會篡改 NTLM 消息。 Preempt 研究人員發現的繞過允許攻擊者移除“MIC”保護並修改 NTLM 身份驗證流程中的各個字段，例如簽名協商。

SMB 會話簽名可防止攻擊者中繼 NTLM 身份驗證消息以建立 SMB 和 DCE/RPC 會話。繞過使攻擊者能夠將 NTLM 身份驗證請求中繼到域中的任何服務器，包括域控制器，同時建立簽名會話以執行遠程代碼執行。 如果中繼的身份驗證是特權用戶，這意味著完全的域妥協。

增強的身份驗證保護 (EPA) 可防止攻擊者將 NTLM 消息中繼到 TLS 會話。 繞過允許攻擊者修改 NTLM 消息以生成合法的通道綁定信息。 這允許攻擊者使用被攻擊用戶的權限連接到各種 Web 服務器並執行以下操作：讀取用戶的電子郵件（通過中繼到 OWA 服務器）甚至連接到雲資源（通過中繼到 ADFS 服務器）。

Preempt 已負責任地向 Microsoft 披露了該漏洞，Microsoft 在 Patch Tuesday 上發布了 CVE-2019-1040 和 CVE-2019-1019 以解決該問題。 然而，Preempt 警告說這還不夠，管理員還需要影響一些配置更改以確保保護。

保護您的網絡：

1.補丁 – 確保工作站和服務器已正確修補。

2。 配置

• 強制 SMB 簽名 – 為防止攻擊者發起更簡單的 NTLM 中繼攻擊，請在網絡中的所有計算機上打開 SMB 簽名。
• 阻止 NTLMv1 – 由於 NTLMv1 被認為安全性顯著降低； 建議通過設置適當的 GPO 來完全阻止它。
• 強制執行 LDAP/S 簽名 – 要防止 LDAP 中的 NTLM 中繼，請在域控制器上強制執行 LDAP 簽名和 LDAPS 通道綁定。
• 執行環保署 – 為防止 Web 服務器上的 NTLM 中繼，強化所有 Web 服務器（OWA、ADFS）以僅接受帶有 EPA 的請求。

3. 減少 NTLM 的使用 – 即使使用完全安全的配置和修補服務器，NTLM 帶來的風險也比 Kerberos 大得多。 建議您刪除不需要的 NTLM。

通過 幫助網絡安全