眾所周知,即使一種技術或協議陳舊、過時或不再被推薦,這并不意味著企業組織不再使用它。問題是,NTLM一直受到安全漏洞的困擾。在周二發布的一份報告中,安全提供商Preempt描述了最新的漏洞,并就如何保護網絡遠離這些漏洞給出了忠告。
Preempt在報告中表示,它最近基于NTLM中的三個邏輯漏洞發現了兩個關鍵的微軟漏洞。這些漏洞可能讓攻擊者可以在任何Windows計算機上遠程執行惡意代碼,或者通過身份驗證,連接到支持Windows Integrated Authentication(WIA)的任何Web服務器,比如Exchange或ADFS。Preempt的研究表明,所有版本的Windows都容易受到這些漏洞的影響。
報告特別指出,NTLM的一大缺陷是它容易受到轉發攻擊(relay attack),這個過程讓攻擊者可以在一臺服務器上獲取身份驗證,然后將其轉發到另一臺服務器,從而讓他們可以使用那些同樣的登錄信息來控制遠程服務器。
微軟已開發了幾個修復程序來防止NTLM轉發攻擊,但攻擊者可以通過以下三個邏輯漏洞找到繞過它們的方法:
· 消息完整性代碼(MIC)字段試圖防止攻擊者篡改NTLM消息。然而Preempt的研究人員發現,攻擊者可以刪除MIC保護機制,并更改NTLM驗證使用的某些字段。
· SMB會話簽名可防止攻擊者轉發NTLM身份驗證消息,以此建立SMB會話和DCE/RPC會話。但Preempt發現攻擊者可以將NTLM身份驗證請求轉發到域中的任何一臺服務器(包括域控制器),并創建簽名會話以便在遠程計算機上執行代碼。如果轉發的身份驗證含有特權用戶的登錄信息,整個域可能岌岌可危。
· 增強的身份驗證保護(EPA)可防止攻擊者將NTLM消息轉發到TLS會話。但是Preempt發現攻擊者可以篡改NTLM消息,以生成合法的通道綁定信息。然后這類攻擊者可以使用用戶的登錄信息,連接到域中的Web服務器,從而得以通過轉發到Outlook Web Access服務器或通過轉發到(ADFS)Active Directory Federation Services服務器以連接到云資源,讀取用戶的電子郵件。
周二微軟將發布兩個補丁,試圖堵住NTLM中這些最新的安全漏洞。除了敦促企業組織給高危系統打上這些新的補丁外,Preempt還給出了其他建議。
補丁
確保給所有工作站和服務器打上了微軟的最新補丁。尋找微軟在6月11日星期二的CVE-2019-1040和CVE-2019-1019補丁。據Preempt聲稱,光打補丁本身并不夠,它還建議在配置方面進行幾處調整。
配置
· 實施SMB簽名機制。想防止攻擊者發起較簡單的NTLM轉發攻擊,請在所有聯網計算機上啟用SMB簽名機制。
· 阻止NTLMv1。由于NTLMv1被認為不安全,Preempt建議企業組織通過適當的組策略設置完全阻止它。
· 實施LDAP/S簽名機制。想防止LDAP中的NTLM轉發,請對域控制器實施LDAP簽名和LDAPS通道綁定機制。
· 實施EPA。想防止Web服務器上的NTLM轉發,請加固所有Web服務器(OWA和ADFS),只接受采用EPA的請求。
Preempt的首席技術官兼聯合創始人Roman Blachman在一份新聞稿中說:“盡管NTLM 轉發攻擊是一種老套的手法,企業卻無法徹底消除使用這種協議,因為這會破壞許多應用程序。因此它仍給企業帶來了巨大的風險,尤其是在新漏洞不斷被發現的情況下。公司需要先確保所有Windows系統都已打上補丁、安全配置。此外,企業組織可以通過了解網絡NTLM的情況,進一步保護環境。”
京公網安備 11010502049343號