Microsoft的NTLM(NT LAN Manager)是一种较旧且现已过时的安全协议,用于验证Windows域中的用户登录信息。尽管Microsoft已经用Kerberos替换了NTLM作为Active Directory的默认身份验证方法,但该公司仍然支持旧协议,并建议客户采用Kerberos。
如何保护网络免受Microsoft NTLM协议中的安全漏洞的影响?
众所周知,即使某项技术或协议已过时,过时或不再推荐,但这并不意味着该组织不再使用它。问题是NTLM一直受到安全漏洞的困扰。在周二发布的一份报告中,安全提供商Preempt描述了最新的漏洞,并就如何保护网络免受这些漏洞提供了建议。
Preempt在报告中表示,它最近根据NTLM中的三个逻辑漏洞发现了两个关键的Microsoft漏洞。这些漏洞可能允许攻击者在任何Windows计算机上远程执行恶意代码,或者对任何支持Windows集成身份验证(WIA)的Web服务器(如Exchange或ADFS)进行身份验证。 Preempt的研究表明,所有版本的Windows都容易受到这些漏洞的攻击。
该报告明确指出,NTLM的一个主要缺点是易受中继攻击,允许攻击者在一台服务器上获取身份验证,然后将其转发到另一台服务器,以便他们可以使用它。那些相同的登录信息来控制远程服务器。
Microsoft已经开发了几个修复程序来防止NTLM转发攻击,但攻击者可以通过以下三个逻辑漏洞找到绕过它们的方法:
消息完整性代码(MIC)字段尝试防止攻击者篡改NTLM消息。然而,Preempt的研究人员发现攻击者可以删除MIC保护机制并更改NTLM身份验证使用的一些字段。SMB会话签名可防止攻击者转发NTLM身份验证消息,从而建立SMB会话和DCE/RPC会话。但是Preempt发现攻击者可以将NTLM身份验证请求转发到域中的任何服务器(包括域控制器),并创建一个签名会话以在远程计算机上执行代码。如果转发的身份验证包含特权用户的登录信息,则整个域可能存在风险。
增强的身份验证保护(EPA)可防止攻击者将NTLM消息转发到TLS会话。但是,Preempt发现攻击者可能会篡改NTLM消息以生成合法的通道绑定信息。然后,此类型的攻击者可以使用用户的登录信息连接到域中的Web服务器,从而使用户能够通过转发到Outlook Web Access服务器或转发到(ADFS)Active Directory联盟来连接到云Web服务器服务服务器。的电子邮件。
周二,微软将发布两个补丁,试图阻止NTLM中的这些最新安全漏洞。除了敦促企业组织将这些新补丁应用于高风险系统之外,Preempt还提出了其他建议。
补丁
确保使用最新的Microsoft修补程序修补所有工作站和服务器。在6月11日星期二寻找微软的CVE-2019-1040和CVE-2019-1019补丁。根据Preempt,补丁本身是不够的。它还建议对配置进行一些调整。
组态
实施SMB签名机制。为防止攻击者发起更简单的NTLM转发攻击,请在所有联网计算机上启用SMB签名机制。
阻止NTLMv1。由于NTLMv1被认为是不安全的,因此Preempt建议企业组织使用适当的组策略设置完全阻止它。
实现LDAP/S签名机制。要防止LDAP中的NTLM转发,请为域控制器实施LDAP签名和LDAPS隧道绑定机制。
实施EPA。要防止在Web服务器上进行NTLM转发,请强化所有Web服务器(OWA和ADFS)并仅接受EPA请求。