Иcследователи компании Preempt обнаружили в Microsoft NTLM две значимые уязвимости, делающие возможным исполнение удаленного вредоносного кодa на любом оборудовании с системным обеспечением Windows

Три недостатка проприетарного протокола аутентификации Microsoft дают злоумышленникам возможность обойти все механизмы защиты NTLM


САН-ФРАНЦИСКО, June 13, 2019 (GLOBE NEWSWIRE) -- В компании Preempt, ведущем предоставителе услуг по обеспечению условного доступа для предотвращения угроз в реальном времени, сегодня объявили об обнаружении ее исследовательской группой двух существенных уязвимостей Microsoft, которые состоят из трех логических недостатков NTLM, проприетарного протокола аутентификации данной компании. Эти уязвимости позволяют злоумышленникам удаленно исполнять вредоносный код на любом оборудовании с системным обеспечением Windows или выполнять проверку подлинности данных на любом веб-сервере, поддерживающем Windows Integrated Authentication (WIA), например Exchange или ADFS. Исследование показало, что все версии Windows уязвимы.

NTLM подвержен ретрансляции атак, что позволяет субъектам захватывать аутентификацию и передавать ее на другой сервер, предоставляя им возможность выполнять операции на удаленном сервере с использованием привелегий аутентифицированного пользователя. Ретрансляция NTLM является одним из наиболее распространенных способов атаки используемых в средах Active Directory, когда частично скомпрометировав одно устройство, злоумышленник затем перемещается на другое, двигаясь по горизонтали и используя проверку подлинности данных NTLM, направленной на скомпрометированный сервер. Microsoft в прошлом уже разработал несколько мер по предотвращению атак ретрансляции NTLM. Исследователи компании Preempt обнаружили, что у этих мер есть следующие недостатки, которые могут быть использованы злоумышленниками:

  • Поле «Message Integrity Code» (MIC) должно не позволить злоумышленникам изменить сообщения NTLM. Однако лазейка, обнаруженная исследователями Preempt, позволяет злоумышленникам снять защиту «MIC» и изменить различные поля в процессе аутентификации NTLM, такие как согласование подписи.
  • SMB Session Signing не должно позволить злоумышленникам ретранслировать сообщения аутентификации NTLM для установления сеансов SMB и DCE / RPC. Однако лазейка, обнаруженная исследователями Preempt, позволяет злоумышленникам передавать запросы проверки подлинности NTLM на любой сервер в домене, включая контроллеры домена, при создании подписанного сеанса для выполнения удаленного запуска кода. Если ретранслируемая аутентификация имеет привилегированного пользователя, это означает полный компромисс домена.
  • Enhanced Protection for Authentication (EPA) должно предотвращать передачу злоумышленниками сообщений NTLM в сеансы TLS. Однако лазейка, обнаруженная исследователями Preempt, позволяет злоумышленникам изменять сообщения NTLM для выработки достоверной информации о привязке канала. Это позволяет злоумышленникам подключаться к различным веб-серверам, используя привилегии атакованного пользователя, и выполнять такие операции, как: чтение электронных писем пользователя (путем передачи на серверы OWA) или даже подключение к облачным ресурсам (путем передачи на серверы ADFS).

Чтобы узнать больше о рисках, связанных с этими недостатками, посетите блог компании Preempt по безопасности здесь.

«Несмотря на то, что ретрансляция NTLM является старым приемом, предприятия не могут полностью исключить использование данного протокола, так как это может повлечь за собой нарушение работы многих приложений. Следовательно, он по-прежнему представляет значительный риск для предприятий, особенно в связи с постоянным обнаружением новых уязвимостей », - заявил Роман Блачман, технический директор и соучредитель Preempt. «Кроме того, организации могут дополнительно защищать свои среды, получая видимость сетевого NTLM. Preempt работает со своими клиентами, чтобы обеспечить им такую ​​видимость и наилучшую защиту ».

Чтобы организации могли защитить себя от этих уязвимостей, они должны:

1. использовать «патч» с целью обеспечения рабочих мест и серверов в должной мере программами по устранению ошибок. Однако важно отметить, что одного патчинга недостаточно, компаниям также необходимо внести изменения в конфигурацию для полной защиты.
2. использовать следующие элементы конфигураци:
   A. Добиться повсеместного использования подписи SMB  - с целью не допустить запуска злоумышленникам более простых ретрансляционных атак NTLM, подписи SMB должно быть задействованны на всех компьютерах в сети.
   B. Блокировка NTLMv1 - поскольку NTLMv1 считается значительно менее безопасным, рекомендуется полностью заблокировать его, установив соответствующий объект групповой политики.
   C. Добиться повсеместного использования подписи LDAP / S - для предотвращения ретрансляции NTLM в LDAP следует добиться повсеместного использования подписи LDAP и привязки канала LDAPS на контроллерах домена.
   D. Добиться повсеместного приминения EPA - чтобы предотвратить ретрансляцию NTLM на веб-серверах, следует укрепить все веб-серверы (OWA, ADFS), чтобы принимать только запросы с EPA.
3. Сокращение использования NTLM - даже при полностью защищенной конфигурации и исправленных серверах NTLM представляет значительно больший риск, чем Kerberos. Рекомендуется удалить NTLM там, где он не нужен.

Клиенты Preempt уже обеспечены защитой от уязвимостей NTLM. Preempt Platform обеспечивает полную видимость сетевого NTLM, позволяя организациям сократить трафик NTLM и анализировать подозрительную активность NTLM. Кроме того, Preempt обладает инновационными детерминированными возможностями обнаружения ретрансляции NTLM, а также имеет возможность проверять все конфигурации объектов групповой политики и оповещать о небезопасных конфигурациях. Эта проверка конфигурации также доступна в Preempt Lite, бесплатной облегченной версии Preempt Platform. Организации могут скачать Preempt Lite здесь и установить, какие области их сети уязвимы.

Данные уязвимости и многое другое будет представлено исследователями Preempt Яроном Зинаром и Мариной Симаков на Black Hat USA 2019.

По состоянию на 11 июня 2019 года Microsoft выпустила CVE-2019-1040 и CVE-2019-1019 в Патч-вторник за ответственное раскрытие Preempt уязвимостей NTLM.

О Preempt
Preempt предоставляет современный подход к аутентификации и защите идентификационных данных на предприятии. Используя запатентованную технологию условного доступа, Preempt помогает предприятиям оптимизировать гигиену идентификации и предотвращать атаки в режиме реального времени, прежде чем они повлияют на бизнес. Preempt постоянно обнаруживает и устраняет угрозы на основе идентичности, поведения и рисков во всех облачных и локальных платформах аутентификации и доступа. Такой подход с низким коэффициентом трения дает командам безопасности больше видимости и контроля над учетными записями и привилегированным доступом, одновременно обеспечивая соответствие и автоматическое разрешение инцидентов. Узнайте больше: www.preempt.com.

Для получения дополнительной информации: Angelique Faul Angelique@silverjacket.net 513-633-0897