近日,Preempt研究团队发现了微软的两个关键漏洞,这两个漏洞都与NTLM中的三个逻辑漏洞有关,这些漏洞允许攻击者在任何Windows计算机上远程执行恶意代码,或者支持Windows与任何Web服务器进行身份验证,例如作为具有集成身份验证(WIA)的Exchange或ADFS。据测试,目前所有Windows版本均受这两个漏洞影响。更糟糕的是,这两个漏洞可以绕过微软之前部署的所有安全保护措施。在允许的环境中,Kerberos是首选的身份验证方法。在此之前,Windows主要使用另一种身份验证协议——NTLM(NTLanManager)。NTLM用于WindowsNT和Windows2000Server(或更高版本)工作组环境(Kerberos用于域模式)。在AD域环境下,如果需要对WindowsNT系统进行认证,还必须使用NTLM。与Kerberos相比,基于NTLM的认证过程要简单得多。NTLM采用挑战/响应(Challenge/Response)消息交换方式,下图反映了Windows2000下整个NTLM认证过程。微软NTLM协议暴露巨大漏洞,现有安全防护措施无用武之地!NTLM容易受到中继攻击,这允许攻击者捕获身份验证并将其转发到另一台服务器,从而允许他们冒充经过身份验证的用户的权限在远程服务器上执行所有操作。NTLM中继是ActiveDirectory环境中最常见的攻击技术之一,攻击者首先破坏一台计算机,然后通过对受感染的服务器使用NTLM身份验证扩展到其他计算机。微软此前开发了几种缓解NTLMRELAY攻击的方法,但研究人员发现这些方法存在以下缺陷:1.基于消息完整性代码(MIC)字段确保攻击者不会篡改NTLM消息的措施:PreemptResearch研究人员发现,只需绕过消息完整性代码(MIC)字段,攻击者就可以移除“MIC”保护并修改NTLM身份验证流程中的各个字段,例如签名协商。2、基于SMB会话签名的措施,防止攻击者发送NTLM认证消息建立SMB和DCE/RPC会话。Preempt研究人员发现,只要许多攻击绕过SMB会话签名,NTLM身份验证请求就可以转发到该域。任何服务器,包括域控制器,同时伪造签名会话以执行远程代码执行。如果转发的身份验证属于特权用户,则意味着整个域都可以受到攻击。3.基于增强的身份验证保护(EPA)措施防止攻击者将NTLM消息转发到TLS会话,Preempt研究人员发现攻击者可以修改NTLM消息以生成合法的Channel绑定信息。这允许攻击者以受感染用户的权限连接到各种Web服务器并执行以下操作:通过中继到OWA服务器来读取用户的电子邮件;甚至通过中继到ADFS服务器连接到云资源。Preempt首席技术官RomanBlachman表示:尽管NTLMRelay是一项古老的技术,但企业不能完全放弃使用NTLM协议,因为它会破坏许多应用程序。因此,它仍然对企业构成重大风险,尤其是在不断发现新漏洞的情况下,企业需要首先确保所有Windows系统都已打好补丁并进行安全配置。此外,公司可以通过获得网络NTLM可见性来进一步保护其环境。在Preempt向微软披露上述漏洞后,微软于6月11日发布了CVE-2019-1040和CVE-2019-1019补丁来应对这些问题。即使有了这些修复,管理员仍需要进行一些配置更改以确保有效保护。保护策略为了保护公司免受这些漏洞的侵害,建议管理员执行以下操作:1.执行补丁:确保工作站和服务器已按要求打补丁。请注意,仅有补丁是不够的,公司还需要进行配置更改以获得完整的保护。2.配置更改:2.1强制执行SMB签名:为防止攻击者发起更简单的NTLMRELAY攻击,请务必在网络中的所有计算机上启用SMB签名。2.2禁用NTLMv1:该版本相当不安全,建议通过适当的组策略将其完全禁用。2.3强制LDAP/S签名:为防止LDAP中的NTLMRELAY攻击,在域控制器上强制执行LDAP签名和LDAPS通道绑定。2.4强制执行EPA:为防止NTLM被黑客利用对Web服务器发起中继攻击,强制所有Web服务器(OWA、ADFS)只接受EPA请求。3、减少NTLM的使用:因为即使采用了完整的安全配置,NTLM也会带来比Kerberos更大的安全隐患,建议在不必要的环境下彻底放弃。WindowsNTLM安全协议漏洞的历史事实上,早在2017年7月,安全公司Preempt的专家就发现了NTLM协议中的两个关键漏洞,允许攻击者创建新的域名管理员账户并接管目标域名。调查显示,第一个严重漏洞涉及NTLM中继中未受保护的轻量级目录访问协议(LDAP)协议;而第二个NTLM漏洞影响RDPRestricted-Admin模式,允许攻击者远程访问目标计算机系统。
