偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

如何保護(hù)網(wǎng)絡(luò)遠(yuǎn)離微軟NTLM協(xié)議中的安全漏洞?

譯文
安全 新聞
安全提供商Preempt最近發(fā)現(xiàn)了NTLM中的漏洞,讓攻擊者可以在任何Windows計(jì)算機(jī)上遠(yuǎn)程執(zhí)行惡意代碼,或者通過身份驗(yàn)證,連接到支持Windows Integrated Authentication的任何Web服務(wù)器。

【51CTO.com快譯】微軟的NTLM(NT LAN Manager)是一種較舊且現(xiàn)已過時(shí)的安全協(xié)議,用于對Windows域中的用戶登錄信息進(jìn)行身份驗(yàn)證。雖然微軟早已將NTLM換成Kerberos、作為Active Directory的默認(rèn)驗(yàn)證方法,但該公司仍然支持這種舊協(xié)議,同時(shí)建議客戶改而采用Kerberos。

[[267921]]

眾所周知,即使一種技術(shù)或協(xié)議陳舊、過時(shí)或不再被推薦,這并不意味著企業(yè)組織不再使用它。問題是,NTLM一直受到安全漏洞的困擾。在周二發(fā)布的一份報(bào)告中,安全提供商Preempt描述了最新的漏洞,并就如何保護(hù)網(wǎng)絡(luò)遠(yuǎn)離這些漏洞給出了忠告。

Preempt在報(bào)告中表示,它最近基于NTLM中的三個(gè)邏輯漏洞發(fā)現(xiàn)了兩個(gè)關(guān)鍵的微軟漏洞。這些漏洞可能讓攻擊者可以在任何Windows計(jì)算機(jī)上遠(yuǎn)程執(zhí)行惡意代碼,或者通過身份驗(yàn)證,連接到支持Windows Integrated Authentication(WIA)的任何Web服務(wù)器,比如Exchange或ADFS。Preempt的研究表明,所有版本的Windows都容易受到這些漏洞的影響。

報(bào)告特別指出,NTLM的一大缺陷是它容易受到轉(zhuǎn)發(fā)攻擊(relay attack),這個(gè)過程讓攻擊者可以在一臺服務(wù)器上獲取身份驗(yàn)證,然后將其轉(zhuǎn)發(fā)到另一臺服務(wù)器,從而讓他們可以使用那些同樣的登錄信息來控制遠(yuǎn)程服務(wù)器。

微軟已開發(fā)了幾個(gè)修復(fù)程序來防止NTLM轉(zhuǎn)發(fā)攻擊,但攻擊者可以通過以下三個(gè)邏輯漏洞找到繞過它們的方法:

  • 消息完整性代碼(MIC)字段試圖防止攻擊者篡改NTLM消息。然而Preempt的研究人員發(fā)現(xiàn),攻擊者可以刪除MIC保護(hù)機(jī)制,并更改NTLM驗(yàn)證使用的某些字段。
  • SMB會話簽名可防止攻擊者轉(zhuǎn)發(fā)NTLM身份驗(yàn)證消息,以此建立SMB會話和DCE/RPC會話。但Preempt發(fā)現(xiàn)攻擊者可以將NTLM身份驗(yàn)證請求轉(zhuǎn)發(fā)到域中的任何一臺服務(wù)器(包括域控制器),并創(chuàng)建簽名會話以便在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行代碼。如果轉(zhuǎn)發(fā)的身份驗(yàn)證含有特權(quán)用戶的登錄信息,整個(gè)域可能岌岌可危。
  • 增強(qiáng)的身份驗(yàn)證保護(hù)(EPA)可防止攻擊者將NTLM消息轉(zhuǎn)發(fā)到TLS會話。但是Preempt發(fā)現(xiàn)攻擊者可以篡改NTLM消息,以生成合法的通道綁定信息。然后這類攻擊者可以使用用戶的登錄信息,連接到域中的Web服務(wù)器,從而得以通過轉(zhuǎn)發(fā)到Outlook Web Access服務(wù)器或通過轉(zhuǎn)發(fā)到(ADFS)Active Directory Federation Services服務(wù)器以連接到云資源,讀取用戶的電子郵件。

周二微軟將發(fā)布兩個(gè)補(bǔ)丁,試圖堵住NTLM中這些最新的安全漏洞。除了敦促企業(yè)組織給高危系統(tǒng)打上這些新的補(bǔ)丁外,Preempt還給出了其他建議。

補(bǔ)丁

確保給所有工作站和服務(wù)器打上了微軟的最新補(bǔ)丁。尋找微軟在6月11日星期二的CVE-2019-1040和CVE-2019-1019補(bǔ)丁。據(jù)Preempt聲稱,光打補(bǔ)丁本身并不夠,它還建議在配置方面進(jìn)行幾處調(diào)整。

配置

  • 實(shí)施SMB簽名機(jī)制。想防止攻擊者發(fā)起較簡單的NTLM轉(zhuǎn)發(fā)攻擊,請?jiān)谒新?lián)網(wǎng)計(jì)算機(jī)上啟用SMB簽名機(jī)制。
  • 阻止NTLMv1。由于NTLMv1被認(rèn)為不安全,Preempt建議企業(yè)組織通過適當(dāng)?shù)慕M策略設(shè)置完全阻止它。
  • 實(shí)施LDAP/S簽名機(jī)制。想防止LDAP中的NTLM轉(zhuǎn)發(fā),請對域控制器實(shí)施LDAP簽名和LDAPS通道綁定機(jī)制。
  • 實(shí)施EPA。想防止Web服務(wù)器上的NTLM轉(zhuǎn)發(fā),請加固所有Web服務(wù)器(OWA和ADFS),只接受采用EPA的請求。

Preempt的首席技術(shù)官兼聯(lián)合創(chuàng)始人Roman Blachman在一份新聞稿中說:“盡管NTLM 轉(zhuǎn)發(fā)攻擊是一種老套的手法,企業(yè)卻無法徹底消除使用這種協(xié)議,因?yàn)檫@會破壞許多應(yīng)用程序。因此它仍給企業(yè)帶來了巨大的風(fēng)險(xiǎn),尤其是在新漏洞不斷被發(fā)現(xiàn)的情況下。公司需要先確保所有Windows系統(tǒng)都已打上補(bǔ)丁、安全配置。此外,企業(yè)組織可以通過了解網(wǎng)絡(luò)NTLM的情況,進(jìn)一步保護(hù)環(huán)境。”

原文標(biāo)題:How to protect your network against security flaws in Microsoft's NTLM protocol,作者:Lance Whitney

【51CTO譯稿,合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】

 

責(zé)任編輯:未麗燕 來源: 51CTO.com
相關(guān)推薦

2019-07-08 11:41:08

網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全技術(shù)周刊

2021-09-22 08:00:00

安全漏洞數(shù)據(jù)

2019-06-14 15:11:35

微軟NTLM協(xié)議

2009-03-09 09:39:00

2011-05-04 18:25:51

2020-06-23 08:04:46

SSL證書信息安全網(wǎng)絡(luò)安全

2015-08-12 10:10:21

2014-03-02 15:06:33

2010-09-07 14:19:29

2009-02-19 17:36:13

Windows MobMy Phone

2023-07-14 11:58:43

2010-06-08 14:32:08

2023-12-31 09:06:08

2010-05-11 20:17:23

NTLM認(rèn)證協(xié)議

2020-10-15 10:54:31

安全漏洞微軟

2014-01-14 09:16:17

2013-05-07 13:32:25

2009-12-11 16:28:09

2010-04-13 16:21:58

無線SSID廣播

2009-02-19 17:00:52

My PhoneWindows Mob安全漏洞
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號