近日,外媒報道了微軟 NTLM 協議中存在的新漏洞,或導致在任何 Windows 計算機上執行遠端程式碼、或對任何支援 Windows 整合身份驗證(WIA)的 Web 伺服器(如 Exchange 和 ADFS)進行身份驗證。
具體說來是,Perrmpt 研究小組發現了由三個邏輯缺陷組成的兩個嚴重漏洞,且所有 Windows 版本都易受到攻擊影響。更糟糕的是,新漏洞可繞過微軟此前已部署的緩解措施。
【NTLM 中繼流程示意。來自:HelpNetSecurity,via MSPU】
據悉,NTLM Relay 是 Active Directory 環境中最常用的攻擊技術之一。雖然微軟此前已經開發了幾種緩解 NTLM 中繼攻擊的緩解措施,但 Preempt 研究人員發現其仍然存在隱患:
● 訊息完整性程式碼(MIC)欄位可確保攻擊者不會篡改 NTLM 訊息,但研究人員發現的旁路攻擊,可以卸下 MIC 的保護,並修改 NTLM 身份驗證流程中的各個欄位,如簽名協商。
● SMB 會話簽名可防止攻擊者轉發 NTLM 身份驗證訊息以建立 SMB 和 DCE / RPC 會話,但旁路攻擊仍能將 NTLM 身份驗證請求中繼到域中的任何伺服器(包括域控制器),同時建立簽名會話以執行遠端程式碼。如果中繼身份驗證屬於特權使用者,則會對全域造成損害。
● 增強型身份驗證保護(EPA)可防止攻擊者將 NTLM 訊息轉發到 TLS 會話,但攻擊者仍可繞過並修改 NTLM 訊息,以生成合法的通道繫結資訊。這使得攻擊者可利用使用者許可權連線到各種 Web 服務,並執行讀取使用者電子郵件(透過中繼到 OWA 伺服器)、甚至連線到雲資源(透過中繼到 ADFS 伺服器)等各種操作。
Preempt 負責地向微軟公司披露了上述漏洞,後者在週二的時候釋出了 CVE-2019-1040 和 CVE-2019-1019 補丁來應對這些問題。
然而 Preempt 警告稱,這麼做還不足以充分應對 NTLM Relay 帶來的安全隱患,因為管理員還需要對某些配置加以更改,才能確保有效的防護。
下面是管理員的建議操作:
(1)執行修補程式 - 確保為工作站和伺服器打上了所需的補丁。
(2)強制 SMB 簽名,放置攻擊者發起更簡單的 NTLM 中繼攻擊,請務必在網路中的所有計算機上啟用 SMB 簽名。
(3)遮蔽 NTLMv1 - 該版本相當不安全,建議透過適當的組策略來完全封禁。
(4)強制執行 LDAP / S 簽名 - 要防止 LDAP 中的 NTLM 中繼,請在域控制器上強制執行 LDAP 簽名和 LDAPS 通道繫結。
(5)實施 EPA - 為防止 Web 伺服器上的 NTLM 中繼,請強化所有 Web 伺服器(OWA / ADFS),僅接受使用 EPA 的請求。
(6)減少 NTLM 的使用 - 因為即便採用了完整的安全配置,NTLM 也會比 Kerberos 帶來更大的安全隱患,建議在不必要的環境中徹底棄用。
近日,外媒報道了微軟 NTLM 協議中存在的新漏洞,或導致在任何 Windows 計算機上執行遠端程式碼、或對任何支援 Windows 整合身份驗證(WIA)的 Web 伺服器(如 Exchange 和 ADFS)進行身份驗證。
具體說來是,Perrmpt 研究小組發現了由三個邏輯缺陷組成的兩個嚴重漏洞,且所有 Windows 版本都易受到攻擊影響。更糟糕的是,新漏洞可繞過微軟此前已部署的緩解措施。
【NTLM 中繼流程示意。來自:HelpNetSecurity,via MSPU】
據悉,NTLM Relay 是 Active Directory 環境中最常用的攻擊技術之一。雖然微軟此前已經開發了幾種緩解 NTLM 中繼攻擊的緩解措施,但 Preempt 研究人員發現其仍然存在隱患:
● 訊息完整性程式碼(MIC)欄位可確保攻擊者不會篡改 NTLM 訊息,但研究人員發現的旁路攻擊,可以卸下 MIC 的保護,並修改 NTLM 身份驗證流程中的各個欄位,如簽名協商。
● SMB 會話簽名可防止攻擊者轉發 NTLM 身份驗證訊息以建立 SMB 和 DCE / RPC 會話,但旁路攻擊仍能將 NTLM 身份驗證請求中繼到域中的任何伺服器(包括域控制器),同時建立簽名會話以執行遠端程式碼。如果中繼身份驗證屬於特權使用者,則會對全域造成損害。
● 增強型身份驗證保護(EPA)可防止攻擊者將 NTLM 訊息轉發到 TLS 會話,但攻擊者仍可繞過並修改 NTLM 訊息,以生成合法的通道繫結資訊。這使得攻擊者可利用使用者許可權連線到各種 Web 服務,並執行讀取使用者電子郵件(透過中繼到 OWA 伺服器)、甚至連線到雲資源(透過中繼到 ADFS 伺服器)等各種操作。
Preempt 負責地向微軟公司披露了上述漏洞,後者在週二的時候釋出了 CVE-2019-1040 和 CVE-2019-1019 補丁來應對這些問題。
然而 Preempt 警告稱,這麼做還不足以充分應對 NTLM Relay 帶來的安全隱患,因為管理員還需要對某些配置加以更改,才能確保有效的防護。
下面是管理員的建議操作:
(1)執行修補程式 - 確保為工作站和伺服器打上了所需的補丁。
(2)強制 SMB 簽名,放置攻擊者發起更簡單的 NTLM 中繼攻擊,請務必在網路中的所有計算機上啟用 SMB 簽名。
(3)遮蔽 NTLMv1 - 該版本相當不安全,建議透過適當的組策略來完全封禁。
(4)強制執行 LDAP / S 簽名 - 要防止 LDAP 中的 NTLM 中繼,請在域控制器上強制執行 LDAP 簽名和 LDAPS 通道繫結。
(5)實施 EPA - 為防止 Web 伺服器上的 NTLM 中繼,請強化所有 Web 伺服器(OWA / ADFS),僅接受使用 EPA 的請求。
(6)減少 NTLM 的使用 - 因為即便採用了完整的安全配置,NTLM 也會比 Kerberos 帶來更大的安全隱患,建議在不必要的環境中徹底棄用。