【.com速译】微软的NTLM(NTLANManager)是一个较旧的、现已过时的安全协议,用于验证Windows域中的用户登录信息。尽管Microsoft早已将NTLM替换为Kerberos作为ActiveDirectory的默认身份验证方法,但该公司仍支持旧协议并建议客户改用Kerberos。我们都知道,即??使一项技术或协议陈旧、过时或不再被推荐,也不意味着组织不再使用它。问题是,NTLM一直受到安全漏洞的困扰。在周二发布的一份报告中,安全提供商Preempt描述了最新的漏洞,并就如何保护网络免受这些漏洞的侵害提供了建议。Preempt在报告中表示,它最近发现了两个基于NTLM中三个逻辑缺陷的关键微软漏洞。这些缺陷可能允许攻击者在任何Windows计算机上远程执行恶意代码,或进行身份验证以连接到任何支持Windows集成身份验证(WIA)的Web服务器,例如Exchange或ADFS。Preempt的研究表明,所有版本的Windows都容易受到这些漏洞的攻击。该报告特别指出,NTLM的一个主要缺陷是它容易受到中继攻击,这一过程允许攻击者在一台服务器上获得身份验证并将其转发到另一台服务器,从而允许他们使用相同的登录名来控制远程服务器。Microsoft已经开发了多个修复程序来防止NTLM转发攻击,但攻击者可以通过以下三个逻辑漏洞找到绕过它们的方法:消息完整性代码(MIC)字段试图阻止攻击者篡改NTLM消息。但是,Preempt研究人员发现,攻击者可以移除MIC保护机制并更改NTLM身份验证使用的某些字段。SMB会话签名可防止攻击者转发NTLM身份验证消息以建立SMB会话和DCE/RPC会话。但Preempt发现攻击者可以将NTLM身份验证请求转发到域中的任何服务器(包括域控制器),并创建签名会话以在远程计算机上执行代码。如果转发的身份验证包含特权用户的登录信息,则整个域都可能处于危险之中。增强的身份验证保护(EPA)可防止攻击者将NTLM消息转发到TLS会话。但Preempt发现攻击者可以篡改NTLM消息以生成合法的通道绑定信息。这样的攻击者然后可以使用用户的登录信息连接到域中的Web服务器,从而能够通过转发到OutlookWebAccess服务器或转发到(ADFS)ActiveDirectory联合身份验证服务服务器来读取用户的配置文件连接到云资源。的电子邮件。微软将在周二发布两个补丁,试图关闭NTLM中的这些最新安全漏洞。除了敦促组织将这些新补丁应用到高风险系统之外,Preempt还有其他建议。补丁确保所有工作站和服务器都安装了最新的Microsoft补丁。查找Microsoft6月11日星期二针对CVE-2019-1040和CVE-2019-1019的补丁。根据Preempt的说法,仅仅打补丁是不够的,它还建议在配置上进行几处调整。Configure实现了SMB签名机制。为防止攻击者发起更简单的NTLM转发攻击,请在所有联网计算机上启用SMB签名。阻止NTLMv1。由于NTLMv1被认为是不安全的,Preempt建议组织通过适当的组策略设置完全阻止它。实施LDAP/S签名机制。要防止LDAP中的NTLM转发,请在域控制器上实施LDAP签名和LDAPS通道绑定机制。实施环保署。要防止NTLM在Web服务器上转发,请强化所有Web服务器(OWA和ADFS)以仅接受EPA请求。“虽然NTLM转发攻击是一个老把戏,但企业不能完全杜绝使用该协议,因为它会破坏许多应用程序,”Preempt的首席技术官兼联合创始人RomanBlachman在一份新闻稿中说。因此,它仍然给企业带来了巨大的风险,尤其是在新的漏洞不断被发现的情况下。公司需要确保所有Windows系统都已打补丁并已安全配置。此外,企业组织还可以了解网络NTLM的情况,进一步保护环境。”原标题:如何保护您的网络免受微软NTLM协议中的安全漏洞,作者:LanceWhitney
