چگونه از شبکه خود در برابر حملات سایبری مایکروسافت NTLM protocol محافظت کنیم؟
آسیب پذیری های NTLM که اخیرا توسط ارائه کننده امنیتی توسط Preempt کشف شده است، می تواند مهاجمان را از راه دور کدهای مخرب بر روی هر دستگاه ویندوز اجرا و یا به هر وب سرور ای که از یکپارچه سازی اعتبار ویندوز پشتیبانی می کند، تأیید کند.
NTLM مایکروسافت (NT LAN Manager) یک پروتکل امنیتی قدیمی و قدیمی است که اعتبار کاربری کاربر را در یک دامنه ویندوز تأیید می کند. اگر چه مایکروسافت از NTLM با استفاده از Kerberos به عنوان روش تأیید پیش فرض برای Active Directory جایگزین NTLM شده است، این شرکت همچنان از پروتکل قدیمی پشتیبانی می کند، در حالی که توصیه می کند مشتریان Kerberos را به آن اعطا کنند.
همانطور که همه ما می دانیم، حتی اگر یک تکنولوژی یا پروتکل قدیمی است، قدیمی شده یا دیگر توصیه نمی شود، به این معناست که سازمان ها دیگر از آن استفاده نمی کنند. مشکل این است که NTLM به طور مداوم از سوراخ امنیتی رنج می برد. در گزارشی که روز سه شنبه منتشر شد، Preempt ارائه دهنده سرویس آخرین نقص ها را شرح می دهد و در مورد نحوه محافظت از شبکه خود در برابر آنها، راهنمایی می کند.
Preempt در گزارش خود اعلام کرد که اخیرا دو آسیب پذیری مایکروسافت را بر اساس سه معیار منطقی NTLM کشف کرده است. این آسیب پذیری ها می توانند مهاجمان را قادر به راه اندازی کدهای مخرب در هر دستگاه ویندوز یا تأیید هویت به هر وب سرور که از یکپارچه سازی یکپارچه سازی ویندوز (WIA) از جمله Exchange یا ADFS پشتیبانی می کند. تحقیقات Preempt نشان می دهد که تمام نسخه های ویندوز حساس به این نقص ها هستند.
یکی از بزرگترین دستاورد های NTLM این است که برای انتقال رجیستری باز است. گزارش، اشاره کرد که یک فرآیند است که اجازه می دهد تا حمله کننده ها به یک سرور احراز هویت کنند و سپس آن را به یک سرور دیگر انتقال دهند، باز کردن درب برای کنترل سرور از راه دور با استفاده از همان اعتبار .
مایکروسافت چندین رفع را برای جلوگیری از حملات رله NTLM ایجاد کرده است، اما مهاجمان می توانند راه هایی برای دور زدن آنها از طریق سه معیار منطقی زیر پیدا کنند:
فیلد یکپارچه پیام (MIC) تلاش میکند تا مهاجمان را از دستکاری پیامهای NTLM جلوگیری کند. با این حال، محققان Preempt کشف کردند که مهاجمان می توانند حفاظت MIC را حذف و زمینه های خاصی را که توسط تایید هویت NTLM استفاده می شود، تغییر دهند.
امضای نشست SMB مانع از حمله مهاجمان از پیام های تأیید هویت NTLM به عنوان راهی برای ایجاد جلسات SMB و DCE / RPC می شود. اما Preempt دریافت که مهاجمان می توانند درخواست های احراز هویت NTLM را به هر سرور در یک دامنه، از جمله کنترل کننده های دامنه، و یک جلسه امضا برای اجرای کد در یک دستگاه از راه دور ایجاد کنند. اگر احراز هویت انتقال داده حاوی اطلاعات مربوط به یک کاربر ممتاز باشد، کل دامنه ممکن است در معرض خطر باشد.
به گزارش کهکشان نور حفاظت پیشرفته برای تأیید اعتبار (EPA) مانع از حمله مهاجمان از ارسال پیام های NTLM به جلسات TLS می شود. اما Preempt کشف کرد که مهاجمان می توانند پیام های NTLM را برای تولید اطلاعات قانونی مرتبط با کانال تغییر دهند. چنین مهاجم ها می توانند با استفاده از اعتبار کاربری کاربر به سرورهای وب در دامنه متصل شوند، به این ترتیب می توان آنها را با خواندن ایمیل های کاربر با انتقال به یک سرور Outlook Web Access یا اتصال به منابع ابر با استفاده از خدمات سرور ADFS) .
در روز سه شنبه، مایکروسافت دو تکه برای صدور این حفره امنیتی در NTLM صادر خواهد کرد. Preempt علاوه بر درخواست سازمان ها برای پاکسازی سیستم های آسیب پذیر با این به روز رسانی های جدید، توصیه های دیگری نیز ارائه می دهد.
پچ
اطمینان حاصل کنید که تمام ایستگاه های کاری و سرورها با آخرین به روز رسانی های مایکروسافت درست شده اند. به دنبال مایکروسافت CVE-2019-1040 و CVE-2019-1019 در Patch روز سه شنبه، 11 ژوئن. با توجه به Preempt، که پچ کردن چندین تنظیمات را نیز توصیه می کند، به اندازه کافی کافی نیست.
پیکربندی
امضای SMB را اجرا کنید برای جلوگیری از حمله مهاجمان به حملات NTLM ساده تر، ورود SMB را در تمام دستگاه های شبکه فعال کنید.
بلوک NTLMv1 از آنجا که NTLMv1 نامعلوم در نظر گرفته شده است، Preempt به سازمانها توصیه می کند تا از طریق تنظیم خط مشی گروه مناسب به طور کامل آن را مسدود کنند.
اجرای LDAP / S را امضا کنید برای جلوگیری از انتقال NTLM در LDAP، امضای LDAP و اتصال کانال LDAPS را در کنترل کننده های دامنه اجرا کنید.
پیاده سازی EPA برای جلوگیری از انتقال NTLM در سرورهای وب، تمام سرورهای وب (OWA، ADFS) را فقط برای پذیرش درخواست ها با EPA سخت کنید.
"با وجودی که NTLM رله یک تکنیک قدیمی است، شرکت ها نمی توانند به طور کامل استفاده از پروتکل را از بین ببرند چرا که بسیاری از برنامه های کاربردی را از بین می برد. بنابراین، هنوز هم خطر زیادی برای شرکت ها وجود دارد، به خصوص با آسیب پذیری های جدید که به طور مداوم کشف شد." یکی از بنیانگذاران، در یک بیانیه مطبوعاتی گفت. "شرکت ها باید اول و همه چیز را اطمینان دهند که تمام سیستم های ویندوز خود را پچ کرده و به طور ایمن پیکربندی کرده اند. علاوه بر این، سازمان ها می توانند با افزایش میزان دید شبکه NTLM محیط خود را محافظت کنند."