如何保護(hù)網(wǎng)絡(luò)遠(yuǎn)離微軟NTLM協(xié)議中的安全漏洞?
譯文【51CTO.com快譯】微軟的NTLM(NT LAN Manager)是一種較舊且現(xiàn)已過(guò)時(shí)的安全協(xié)議,用于對(duì)Windows域中的用戶登錄信息進(jìn)行身份驗(yàn)證。雖然微軟早已將NTLM換成Kerberos、作為Active Directory的默認(rèn)驗(yàn)證方法,但該公司仍然支持這種舊協(xié)議,同時(shí)建議客戶改而采用Kerberos。
眾所周知,即使一種技術(shù)或協(xié)議陳舊、過(guò)時(shí)或不再被推薦,這并不意味著企業(yè)組織不再使用它。問(wèn)題是,NTLM一直受到安全漏洞的困擾。在周二發(fā)布的一份報(bào)告中,安全提供商Preempt描述了最新的漏洞,并就如何保護(hù)網(wǎng)絡(luò)遠(yuǎn)離這些漏洞給出了忠告。
Preempt在報(bào)告中表示,它最近基于NTLM中的三個(gè)邏輯漏洞發(fā)現(xiàn)了兩個(gè)關(guān)鍵的微軟漏洞。這些漏洞可能讓攻擊者可以在任何Windows計(jì)算機(jī)上遠(yuǎn)程執(zhí)行惡意代碼,或者通過(guò)身份驗(yàn)證,連接到支持Windows Integrated Authentication(WIA)的任何Web服務(wù)器,比如Exchange或ADFS。Preempt的研究表明,所有版本的Windows都容易受到這些漏洞的影響。
報(bào)告特別指出,NTLM的一大缺陷是它容易受到轉(zhuǎn)發(fā)攻擊(relay attack),這個(gè)過(guò)程讓攻擊者可以在一臺(tái)服務(wù)器上獲取身份驗(yàn)證,然后將其轉(zhuǎn)發(fā)到另一臺(tái)服務(wù)器,從而讓他們可以使用那些同樣的登錄信息來(lái)控制遠(yuǎn)程服務(wù)器。
微軟已開(kāi)發(fā)了幾個(gè)修復(fù)程序來(lái)防止NTLM轉(zhuǎn)發(fā)攻擊,但攻擊者可以通過(guò)以下三個(gè)邏輯漏洞找到繞過(guò)它們的方法:
- 消息完整性代碼(MIC)字段試圖防止攻擊者篡改NTLM消息。然而Preempt的研究人員發(fā)現(xiàn),攻擊者可以刪除MIC保護(hù)機(jī)制,并更改NTLM驗(yàn)證使用的某些字段。
- SMB會(huì)話簽名可防止攻擊者轉(zhuǎn)發(fā)NTLM身份驗(yàn)證消息,以此建立SMB會(huì)話和DCE/RPC會(huì)話。但Preempt發(fā)現(xiàn)攻擊者可以將NTLM身份驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)到域中的任何一臺(tái)服務(wù)器(包括域控制器),并創(chuàng)建簽名會(huì)話以便在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行代碼。如果轉(zhuǎn)發(fā)的身份驗(yàn)證含有特權(quán)用戶的登錄信息,整個(gè)域可能岌岌可危。
- 增強(qiáng)的身份驗(yàn)證保護(hù)(EPA)可防止攻擊者將NTLM消息轉(zhuǎn)發(fā)到TLS會(huì)話。但是Preempt發(fā)現(xiàn)攻擊者可以篡改NTLM消息,以生成合法的通道綁定信息。然后這類攻擊者可以使用用戶的登錄信息,連接到域中的Web服務(wù)器,從而得以通過(guò)轉(zhuǎn)發(fā)到Outlook Web Access服務(wù)器或通過(guò)轉(zhuǎn)發(fā)到(ADFS)Active Directory Federation Services服務(wù)器以連接到云資源,讀取用戶的電子郵件。
周二微軟將發(fā)布兩個(gè)補(bǔ)丁,試圖堵住NTLM中這些最新的安全漏洞。除了敦促企業(yè)組織給高危系統(tǒng)打上這些新的補(bǔ)丁外,Preempt還給出了其他建議。
補(bǔ)丁
確保給所有工作站和服務(wù)器打上了微軟的最新補(bǔ)丁。尋找微軟在6月11日星期二的CVE-2019-1040和CVE-2019-1019補(bǔ)丁。據(jù)Preempt聲稱,光打補(bǔ)丁本身并不夠,它還建議在配置方面進(jìn)行幾處調(diào)整。
配置
- 實(shí)施SMB簽名機(jī)制。想防止攻擊者發(fā)起較簡(jiǎn)單的NTLM轉(zhuǎn)發(fā)攻擊,請(qǐng)?jiān)谒新?lián)網(wǎng)計(jì)算機(jī)上啟用SMB簽名機(jī)制。
- 阻止NTLMv1。由于NTLMv1被認(rèn)為不安全,Preempt建議企業(yè)組織通過(guò)適當(dāng)?shù)慕M策略設(shè)置完全阻止它。
- 實(shí)施LDAP/S簽名機(jī)制。想防止LDAP中的NTLM轉(zhuǎn)發(fā),請(qǐng)對(duì)域控制器實(shí)施LDAP簽名和LDAPS通道綁定機(jī)制。
- 實(shí)施EPA。想防止Web服務(wù)器上的NTLM轉(zhuǎn)發(fā),請(qǐng)加固所有Web服務(wù)器(OWA和ADFS),只接受采用EPA的請(qǐng)求。
Preempt的首席技術(shù)官兼聯(lián)合創(chuàng)始人Roman Blachman在一份新聞稿中說(shuō):“盡管NTLM 轉(zhuǎn)發(fā)攻擊是一種老套的手法,企業(yè)卻無(wú)法徹底消除使用這種協(xié)議,因?yàn)檫@會(huì)破壞許多應(yīng)用程序。因此它仍給企業(yè)帶來(lái)了巨大的風(fēng)險(xiǎn),尤其是在新漏洞不斷被發(fā)現(xiàn)的情況下。公司需要先確保所有Windows系統(tǒng)都已打上補(bǔ)丁、安全配置。此外,企業(yè)組織可以通過(guò)了解網(wǎng)絡(luò)NTLM的情況,進(jìn)一步保護(hù)環(huán)境。”
原文標(biāo)題:How to protect your network against security flaws in Microsoft's NTLM protocol,作者:Lance Whitney
【51CTO譯稿,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】