最近,Preempt研究团队发现了两个关键的Microsoft漏洞,这两个漏洞都与三个NTLM中的逻辑漏洞有关,这些漏洞允许攻击者在任何Windows计算机上远程执行恶意代码或支持Windows集成身份验证。任何Web服务器(WIA)(例如Exchange或ADFS)都进行身份验证。根据测试,所有当前版本的Windows都受到这两个漏洞的影响。更糟糕的是,这两个漏洞绕过了Microsoft部署的所有安全措施。
Kerberos是允许环境中的首选身份验证方法。在此之前,Windows主要采用另一种认证协议—— NTLM(NT Lan Manager)。 NTLM用于Windows NT和Windows 2000 Server(或更高版本)工作组环境(Kerberos用于域模式)。在AD域环境中,如果需要对Windows NT系统进行身份验证,则还必须使用NTLM。基于NTLM的身份验证过程比Kerberos简单得多。 NTLM使用质询/响应消息交换模式。下图反映了Windows 2000下的整个NTLM身份验证过程。
Microsoft NTLM协议暴露了一个巨大的漏洞,现有的安全保护措施毫无用处!
NTLM易受中继攻击,允许攻击者捕获身份验证并将其转发到另一台服务器,使他们能够利用经过身份验证的用户权限在远程服务器上执行所有操作。
NTLM Relay是Active Directory环境中最常见的攻击技术之一。在Active Directory环境中,攻击者首先攻击计算机,然后通过对受感染服务器使用NTLM身份验证将其扩展到其他计算机。
微软此前已经开发了几种缓解NTLM RELAY攻击的方法,但研究人员发现这些方法存在以下缺陷:1.基于消息完整性代码(MIC)字段,以确保攻击者不会篡改NTLM消息:抢先研究人员发现,通过绕过消息完整性代码(MIC)字段,攻击者可以删除“MIC”保护,修改它。 NTLM身份验证流程中的各个字段,例如签名协商。
2.基于SMB会话签名以防止攻击者发送NTLM身份验证消息以建立SMB和DCE/RPC会话,Preempt研究人员发现只要绕过SMB会话签名,攻击就可以将NTLM身份验证请求转发到域。任何服务器,包括域控制器,在伪造签名会话以执行远程代码执行时。如果转发的身份验证是特权用户,则意味着可以攻击整个域。
3.基于增强身份验证保护(EPA)防止攻击者将NTLM消息转发到TLS会话,Preempt研究人员发现攻击者可以通过绕过身份验证保护(EPA)来修改NTLM消息以生成合法的消息。渠道绑定信息。这允许攻击者使用受感染用户的权限连接到各种Web服务器,并执行以下操作:通过中继到OWA服务器来中继用户的电子邮件;甚至通过中继到ADFS服务器连接到云资源。
Preempt首席技术官Roman Blachman说:
即使NTLM Relay是一项旧技术,公司也不能完全放弃使用NTLM协议,因为它可以破坏许多应用程序。因此,它仍然给企业带来巨大风险,特别是在不断发现新漏洞的情况下,公司需要首先确保所有Windows系统都经过修补和安全配置。此外,公司可以通过获得网络NTLM可见性进一步保护其环境。
在Preempt向微软披露上述漏洞之后,微软于6月11日发布了CVE-2019-1040和CVE-2019-1019补丁来解决这些问题。
即使有这些修复,管理员也需要对某些配置进行更改以确保有效保护。
保护策略
为了保护您的公司免受这些漏洞的影响,我们建议管理员执行以下操作:
1.执行补丁:确保根据需要修补工作站和服务器。请注意,单独的补丁是不够的,公司需要进行配置更改以获得完整的保护。
2.配置更改:
2.1强制SMB签名:为防止攻击者发起更简单的NTLM RELAY攻击,请务必在网络中的所有计算机上启用SMB签名。
2.2禁用NTLMv1:此版本非常不安全,建议通过适当的组策略完全禁用。2.3实施LDAP/S签名:为了防止LDAP中的NTLM RELAY攻击,强制在域控制器上进行LDAP签名和LDAPS通道绑定。
2.4 EPA的实施:为了防止黑客利用NTLM在Web服务器上发起中继攻击,所有Web服务器(OWA,ADFS)都被迫只接受EPA请求。
3.减少NTLM的使用:因为即使使用完整的安全配置,NTLM也会比Kerberos带来更大的安全风险,建议在不必要的环境中完全放弃它。
Windows NTLM安全协议漏洞历史记录
实际上,早在2017年7月,安全公司Preempt专家就发现了NTLM协议中的两个关键漏洞,允许攻击者创建一个新的域管理员帐户并接管目标域名。
调查显示,第一个关键漏洞涉及NTLM中继器内未受保护的轻量级目录访问协议(LDAP)协议;第二个NTLM漏洞影响了RDP Restricted-Admin模式,允许攻击者在不提供密码的情况下提供密码。远程访问目标计算机系统。