【51CTO.com快譯】微軟的NTLM(NT LAN Manager)是一種較舊且現(xiàn)已過(guò)時(shí)的安全協(xié)議，用于對(duì)Windows域中的用戶登錄信息進(jìn)行身份驗(yàn)證。雖然微軟早已將NTLM換成Kerberos、作為Active Directory的默認(rèn)驗(yàn)證方法，但該公司仍然支持這種舊協(xié)議，同時(shí)建議客戶改而采用Kerberos。

[[267921]]

眾所周知，即使一種技術(shù)或協(xié)議陳舊、過(guò)時(shí)或不再被推薦，這并不意味著企業(yè)組織不再使用它。問(wèn)題是，NTLM一直受到安全漏洞的困擾。在周二發(fā)布的一份報(bào)告中，安全提供商Preempt描述了最新的漏洞，并就如何保護(hù)網(wǎng)絡(luò)遠(yuǎn)離這些漏洞給出了忠告。

Preempt在報(bào)告中表示，它最近基于NTLM中的三個(gè)邏輯漏洞發(fā)現(xiàn)了兩個(gè)關(guān)鍵的微軟漏洞。這些漏洞可能讓攻擊者可以在任何Windows計(jì)算機(jī)上遠(yuǎn)程執(zhí)行惡意代碼，或者通過(guò)身份驗(yàn)證，連接到支持Windows Integrated Authentication(WIA)的任何Web服務(wù)器，比如Exchange或ADFS。Preempt的研究表明，所有版本的Windows都容易受到這些漏洞的影響。

報(bào)告特別指出，NTLM的一大缺陷是它容易受到轉(zhuǎn)發(fā)攻擊(relay attack)，這個(gè)過(guò)程讓攻擊者可以在一臺(tái)服務(wù)器上獲取身份驗(yàn)證，然后將其轉(zhuǎn)發(fā)到另一臺(tái)服務(wù)器，從而讓他們可以使用那些同樣的登錄信息來(lái)控制遠(yuǎn)程服務(wù)器。

微軟已開(kāi)發(fā)了幾個(gè)修復(fù)程序來(lái)防止NTLM轉(zhuǎn)發(fā)攻擊，但攻擊者可以通過(guò)以下三個(gè)邏輯漏洞找到繞過(guò)它們的方法：

• 消息完整性代碼(MIC)字段試圖防止攻擊者篡改NTLM消息。然而Preempt的研究人員發(fā)現(xiàn)，攻擊者可以刪除MIC保護(hù)機(jī)制，并更改NTLM驗(yàn)證使用的某些字段。
• SMB會(huì)話簽名可防止攻擊者轉(zhuǎn)發(fā)NTLM身份驗(yàn)證消息，以此建立SMB會(huì)話和DCE/RPC會(huì)話。但Preempt發(fā)現(xiàn)攻擊者可以將NTLM身份驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)到域中的任何一臺(tái)服務(wù)器(包括域控制器)，并創(chuàng)建簽名會(huì)話以便在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行代碼。如果轉(zhuǎn)發(fā)的身份驗(yàn)證含有特權(quán)用戶的登錄信息，整個(gè)域可能岌岌可危。
• 增強(qiáng)的身份驗(yàn)證保護(hù)(EPA)可防止攻擊者將NTLM消息轉(zhuǎn)發(fā)到TLS會(huì)話。但是Preempt發(fā)現(xiàn)攻擊者可以篡改NTLM消息，以生成合法的通道綁定信息。然后這類攻擊者可以使用用戶的登錄信息，連接到域中的Web服務(wù)器，從而得以通過(guò)轉(zhuǎn)發(fā)到Outlook Web Access服務(wù)器或通過(guò)轉(zhuǎn)發(fā)到(ADFS)Active Directory Federation Services服務(wù)器以連接到云資源，讀取用戶的電子郵件。

周二微軟將發(fā)布兩個(gè)補(bǔ)丁，試圖堵住NTLM中這些最新的安全漏洞。除了敦促企業(yè)組織給高危系統(tǒng)打上這些新的補(bǔ)丁外，Preempt還給出了其他建議。

補(bǔ)丁

確保給所有工作站和服務(wù)器打上了微軟的最新補(bǔ)丁。尋找微軟在6月11日星期二的CVE-2019-1040和CVE-2019-1019補(bǔ)丁。據(jù)Preempt聲稱，光打補(bǔ)丁本身并不夠，它還建議在配置方面進(jìn)行幾處調(diào)整。

配置

• 實(shí)施SMB簽名機(jī)制。想防止攻擊者發(fā)起較簡(jiǎn)單的NTLM轉(zhuǎn)發(fā)攻擊，請(qǐng)?jiān)谒新?lián)網(wǎng)計(jì)算機(jī)上啟用SMB簽名機(jī)制。
• 阻止NTLMv1。由于NTLMv1被認(rèn)為不安全，Preempt建議企業(yè)組織通過(guò)適當(dāng)?shù)慕M策略設(shè)置完全阻止它。
• 實(shí)施LDAP/S簽名機(jī)制。想防止LDAP中的NTLM轉(zhuǎn)發(fā)，請(qǐng)對(duì)域控制器實(shí)施LDAP簽名和LDAPS通道綁定機(jī)制。
• 實(shí)施EPA。想防止Web服務(wù)器上的NTLM轉(zhuǎn)發(fā)，請(qǐng)加固所有Web服務(wù)器(OWA和ADFS)，只接受采用EPA的請(qǐng)求。

Preempt的首席技術(shù)官兼聯(lián)合創(chuàng)始人Roman Blachman在一份新聞稿中說(shuō)：“盡管NTLM 轉(zhuǎn)發(fā)攻擊是一種老套的手法，企業(yè)卻無(wú)法徹底消除使用這種協(xié)議，因?yàn)檫@會(huì)破壞許多應(yīng)用程序。因此它仍給企業(yè)帶來(lái)了巨大的風(fēng)險(xiǎn)，尤其是在新漏洞不斷被發(fā)現(xiàn)的情況下。公司需要先確保所有Windows系統(tǒng)都已打上補(bǔ)丁、安全配置。此外，企業(yè)組織可以通過(guò)了解網(wǎng)絡(luò)NTLM的情況，進(jìn)一步保護(hù)環(huán)境。”

原文標(biāo)題：How to protect your network against security flaws in Microsoft's NTLM protocol，作者：Lance Whitney

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】