微软NTLM协议曝出重大漏洞 现有缓解措施很难彻底修复

2019年11月23日22:40:48 发表评论

近日,外媒报道了微软 NTLM 协议中存在的新破绽,或招致在任何 Windows 计算机上执行近程代码、或对任何支持 Windows 集成身份验证(WIA)的 Web 效劳器(如 Exchange 和 ADFS)停止身份验证。详细说来是,Perrmpt 研讨小组发现了由三个逻辑缺陷组成的两个严重破绽,且一切 Windows 版本都易遭到攻击影响。更蹩脚的是,新破绽可绕过微软此前已部署的缓解措施。

NTLM 中继流程表示(来自:HelpNetSecurity,viaMSPU)

据悉,NTLM Relay 是 Active Directory 环境中最常用的攻击技术之一。固然微软此前曾经开发了几种缓解 NTLM 中继攻击的缓解措施,但 Preempt 研讨职员发现其依然存在隐患:

● 音讯完好性代码(MIC)字段可确保攻击者不会窜改 NTLM 音讯,但研讨职员发现的旁路攻击,可以卸下 MIC 的维护,并修正 NTLM 身份验证流程中的各个字段,如签名协商。

● SMB 会话签名可避免攻击者转发 NTLM 身份验证音讯以树立 SMB 和 DCE / RPC 会话,但旁路攻击仍能将 NTLM 身份验证恳求中继到域中的任何效劳器(包括域控制器),同时树立签名会话以执行近程代码。假如中继身份验证属于特权用户,则会对全域形成损害。

● 加强型身份验证维护(EPA)可避免攻击者将 NTLM 音讯转发到 TLS 会话,但攻击者仍可绕过并修正 NTLM 音讯,以天生正当的通道绑定信息。这使得攻击者可应用用户权限衔接到各种 Web 效劳,并执行读取用户电子邮件(经过中继到 OWA 效劳器)、甚至衔接到云资源(经过中继到 ADFS 效劳器)等各种操纵。

Preempt 担任地向微软公司表露了上述破绽,后者在周二的时分发布了 CVE-2019-1040 和 CVE-2019-1019 补丁来应对这些题目。

但是 Preempt 正告称,这么做还缺乏以充沛应对 NTLM Relay 带来的平安隐患,由于治理员还需求对某些配置加以更改,才干确保无效的防护。

上面是治理员的建议操纵:

(1)执行修补顺序 - 确保为任务站和效劳器打上了所需的补丁。

(2)强迫 SMB 签名,放置攻击者发起更复杂的 NTLM 中继攻击,请务必在网络中的一切计算机上启用 SMB 签名。

(3)屏蔽 NTLMv1 - 该版本相当不平安,建议经过适当的组战略来完全封禁。

(4)强迫执行 LDAP / S 签名 - 要避免 LDAP 中的 NTLM 中继,请在域控制器上强迫执行 LDAP 签名和 LDAPS 通道绑定。

(5)施行 EPA - 为避免 Web 效劳器上的 NTLM 中继,请强化一切 Web 效劳器(OWA / ADFS),仅承受运用 EPA 的恳求。

(6)增加 NTLM 的运用 - 由于即使采用了完好的平安配置,NTLM 也会比 Kerberos 带来更大的平安隐患,建议在不用要的环境中彻底弃用。

发表评论

后发表评论