I ricercatori di Preempt hanno scoperto due vulnerabilità critiche in Microsoft NTLM che consentono l'esecuzione da remoto di codice dannoso su qualsiasi macchina Windows

Tre difetti del protocollo di autenticazione proprietario di Microsoft offrono agli aggressori la possibilità di aggirare tutti i meccanismi di protezione NTLM


SAN FRANCISCO, June 12, 2019 (GLOBE NEWSWIRE) -- Preempt, il principale provider di accesso condizionato per la prevenzione delle minacce in tempo reale, ha annunciato oggi che il suo team di ricerca ha individuato due vulnerabilità critiche derivanti da tre difetti logici in NTLM, il protocollo di autenticazione proprietario di Microsoft. Tali vulnerabilità consentono agli autori di attacchi di eseguire da remoto il codice dannoso su qualsiasi computer Windows e di accedere a qualsiasi server Web che impiega l'autenticazione integrata di Windows (WIA), come per esempio Exchange e ADFS. La ricerca ha dimostrato che tutte le versioni di Windows sono vulnerabili.

NTLM è suscettibile ad attacchi di tipo “relay”, in cui l’aggressore acquisisce un'autenticazione e la trasferisce a un altro server per garantirsi la possibilità di eseguire operazioni su tale macchina in virtù dei privilegi dell'utente autenticato sul server iniziale. Gli attacchi di tipo NTLM Relay sono molto comuni negli ambienti Active Directory, in cui l'aggressore compromette una macchina, poi si sposta lateralmente su altre macchine utilizzando l'autenticazione ottenuta sul server NTLM compromesso.

Già in passato Microsoft ha sviluppato diverse attenuazioni per prevenire attacchi di tipo NTLM Relay. Ora, i ricercatori di Preempt hanno scoperto che queste attenuazioni hanno i seguenti difetti che possono essere sfruttati dagli aggressori:

  • Il campo Message Integrity Code (MIC) garantisce che gli utenti malintenzionati non manomettano i messaggi NTLM. La falla scoperta dai ricercatori di Preempt consente agli aggressori di rimuovere la protezione "MIC" e modificare vari campi nel flusso di autenticazione NTLM, come la negoziazione della firma.
  • SMB Session Signing impedisce agli aggressori di inoltrare messaggi di autenticazione NTLM per stabilire sessioni SMB e DCE/RPC. La falla scoperta dai ricercatori di Preempt consente agli aggressori di inoltrare richieste di autenticazione NTLM a qualsiasi server nel dominio, inclusi i controller di dominio, e allo stesso tempo di stabilire una sessione firmata per eseguire codice da remoto. Se l'autenticazione ottenuta sul server iniziale è di un utente privilegiato, questo significa la compromissione dell'intero dominio.
  • La protezione avanzata per l'autenticazione (EPA) impedisce agli aggressori di inoltrare i messaggi NTLM alle sessioni TLS. La falla scoperta dai ricercatori di Preempt consente agli aggressori di modificare i messaggi NTLM per generare informazioni legittime sul binding del canale. Ciò consente agli aggressori di connettersi a vari server Web utilizzando i privilegi dell'utente compromesso ed eseguire operazioni quali leggere le e-mail dell'utente (accedendo a server OWA) o persino connettersi alle risorse cloud (mediante l'accesso ai server ADFS).

Per ulteriori dettagli sui rischi che derivano da questi difetti, visitare il blog di consulenza sulla sicurezza di Preempt qui.

"Anche se gli attacchi di tipo NTLM Relay si basano su una tecnica datata, le aziende non possono eliminare completamente l'uso del protocollo in quanto questo interrompe molte applicazioni. Di conseguenza, rappresenta ancora un rischio rilevante per le aziende, in particolare alla luce delle nuove vulnerabilità scoperte con frequenza", ha spiegato Roman Blachman, Chief Technology Officer e co-fondatore di Preempt. “Le aziende devono prima di tutto assicurarsi che tutti i loro sistemi Windows siano configurati in modo corretti e sicuro. Le organizzazioni possono anche proteggere ulteriormente i loro ambienti ottenendo visibilità NTLM di rete. Preempt collabora con i propri clienti per garantire che essi abbiano tale visibilità e la migliore protezione possibile”.

Per proteggersi da queste vulnerabilità le organizzazioni devono:

  1. Applicare le patch: assicurarsi che su workstation e server siano installate tutte le patch. È anche importante notare che le patch da sole non sono sufficienti, per essere completamente protette le aziende devono anche apportare modifiche alla configurazione.
  2. Configurazione:
    1. Applicazione della firma SMB: applicare la firma SMB per impedire agli aggressori di lanciare attacchi NTLM Relay più semplici, attivare la firma SMB su tutte le macchine della rete.
    2. Blocco di NTLMv1: bloccare NTLMv1 in quanto è considerato molto meno sicuro; si consiglia di bloccarlo completamente impostando il GPO appropriato.
    3. Applicazione della firma LDAP/S: applicare la firma LDAP/S per impedire attacchi di tipo NTLM Relay in LDAP, applicare la firma LDAP e il binding del canale LDAPS sui controller di dominio.
    4. Applicazione di EPA: per impedire attacchi di tipo NTLM Relay sui server Web, configurare tutti i server Web (OWA, ADFS) in maniera che accettino esclusivamente le richieste con EPA.
  3. Ridurre l'utilizzo di NTLM: anche con la configurazione completamente protetta e i server aggiornati con tutte le patch, NTLM rappresenta un rischio significativamente maggiore di Kerberos. Si consiglia di rimuovere NTLM se non è necessario.

I clienti di Preempt dispongono già di protezioni contro le vulnerabilità NTLM. La piattaforma Preempt offre visibilità NTLM completa della rete, consentendo alle organizzazioni di ridurre il traffico NTLM e analizzare le attività NTLM sospette. Inoltre, Preempt dispone di innovative funzionalità di rilevamento degli attacchi di tipo NTLM Relay determinanti per il settore e ha la capacità di ispezionare tutte le configurazioni GPO per individuare le configurazioni non sicure. L’ispezione della configurazione è disponibile anche in Preempt Lite, una versione ridotta e gratuita della piattaforma Preempt. Le organizzazioni possono scaricare Preempt Lite qui per verificare quali aree della loro rete sono vulnerabili.

Queste vulnerabilità e molto altro saranno presentate dai ricercatori di Preempt, Yaron Zinar e Marina Simakov, a Black Hat USA 2019.

Dall’11 giugno 2019, Microsoft ha emesso CVE-2019-1040 e CVE-2019-1019 su Patch Tuesday in seguito alla divulgazione responsabile delle vulnerabilità NTLM da parte di Preempt.

Informazioni su Preempt 
Preempt offre un approccio moderno all'autenticazione e alla protezione dell'identità in azienda. Utilizzando la tecnologia brevettata per l'accesso condizionale, Preempt aiuta le aziende a ottimizzare l'igiene delle identità e a bloccare gli attacchi in tempo reale, prima che abbiano un impatto sull'attività. Preempt rileva continuamente e anticipa le minacce in base all'identità, al comportamento e ai rischi in tutte le piattaforme di autenticazione e accesso basate nel cloud e in sede. Questo approccio a basso attrito consente ai team di sicurezza di avere maggiore visibilità e controllo sugli account e sugli accessi privilegiati, ottenendo allo stesso tempo conformità alle normative e l’abilità di risolvere automaticamente eventuali incidenti. Per saperne di più: www.preempt.com.

Per maggiori informazioni:
Angelique Faul
Angelique@silverjacket.net
513-633-0897