微軟NTLM協議被曝出巨大漏洞!

2019 年 6 月 14 日 0 Comments 608 Views 1 Thumb

近日Preempt研究小組發現了兩個關鍵的微軟漏洞,這兩個漏洞都和三個NTLM中的邏輯漏洞有關,這些漏洞允許攻擊者在任何Windows計算機上遠程執行惡意代碼,或對支持Windows集成身份驗證(WIA)的任何web服務器(如Exchange或ADFS)進行身份驗證。根據測試,目前所有Windows 版本都會受到這兩個漏洞的影響。更糟糕的是,這兩個漏洞可繞過微軟此前已部署的所有安全保護措施。

微軟NTLM協議被曝出巨大漏洞!

在允許的環境下,Kerberos是首選的認證方式。在這之前,Windows主要采用另一種認證協議——NTLM。NTLM使用在Windows NT和Windows 2000 Server工作組環境中。在AD域環境中,如果需要認證Windows NT系統,也必須采用NTLM。

NTLM容易受到中繼攻擊,這允許攻擊者捕獲身份驗證并將其轉發到另一臺服務器,從而使他們能夠冒用經過身份驗證的用戶的特權在遠程服務器上執行所有的操作。

NTLM Relay是Active Directory環境中最常見的攻擊技術之一,在Active Directory環境中,攻擊者先會攻擊一臺計算機,然后通過使用針對受感染服務器的NTLM身份驗證向其他計算機擴展。

微軟之前已經開發了幾個緩解NTLM RELAY攻擊的方法,但是研究人員發現這些方法都存在著以下缺陷:
1、基于消息完整性代碼(MIC)字段確保攻擊者不會篡改NTLM消息的措施:Preempt研究人員發現,只要繞過消息完整性代碼(MIC)字段,攻擊者就可以刪除“MIC”保護并修改NTLM身份驗證流中的各個字段,比如簽名協商。

2、基于SMB會話簽名防止攻擊者發送NTLM身份驗證消息來建立SMB和DCE/RPC會話的措施,Preempt研究人員發現,許攻擊只要繞過SMB會話簽名,就可以將NTLM身份驗證請求轉發到域中的任何服務器,包括域控制器,同時偽造一個簽名會話來執行遠程代碼執行。

3、基于增強的身份驗證保護(EPA)防止攻擊者將NTLM消息轉發到TLS會話的措施,Preempt研究人員發現,攻擊者只要繞過身份驗證保護(EPA),就可以修改NTLM消息來生成合法的通道綁定信息。

微軟在6月11日的時候發布了CVE-2019-1040和CVE-2019-1019補丁來應對這些問題。即使執行了這些修復,管理員還需要對某些配置加以更改,才能確保有效的防護。

為了保護公司免受這些漏洞的攻擊,建議管理員進行以下操作:

執行修補程序:確保為工作站和服務器打上了所需的補丁,要注意,單獨的補丁是不夠的,公司還需要進行配置更改,以便得到完全的保護。
強制SMB簽名:為了防止攻擊者發起更簡單的NTLM RELAY攻擊,請務必在網絡中的所有計算機上啟用SMB 簽名。
禁用NTLMv1:該版本相當不安全,建議通過適當的組策略來完全禁用。
強制LDAP/S簽名:為了防止LDAP中的NTLM RELAY攻擊,在域控制器上強制LDAP簽名和LDAPS通道綁定。
強制實施EPA:為了防止NTLM在web服務器上被黑客用來發動中繼攻擊,強制所有web服務器只接受EPA的請求。
減少NTLM的使用:因為即便采用了完整的安全配置,NTLM 也會比Kerberos 帶來更大的安全隱患,建議在不必要的環境中徹底棄用。

街机捕鱼大亨hd 甘肃快三推荐预测 龙王捕鱼只打 赚钱软件 2018 黑龙江时时注册 捕鱼达人3d白金弹头 可以看牌抢庄的棋牌 时时彩万位定胆的技巧 贵州快三开奖结果全部 篮球比分网即时比分 腾讯捕鱼达人3d版赚钱