Hvordan beskytte nettverket ditt mot sikkerhetsfeil i Microsofts NTLM-protokoll

Windows 10 S: Er dette Microsoft OS riktig for din bedrift? Finn ut hvorfor enheter som kjører Microsofts Windows 10 S-operativsystem, tilbyr bedrifter mer sikkerhet og kontroll.

Microsofts NTLM (NT LAN Manager) er en eldre og nå utdatert sikkerhetsprotokoll som autentiserer brukeropplysninger i et Windows-domene. Selv om Microsoft for lengst har erstattet NTLM med Kerberos som standard autentiseringsmetode for Active Directory, støtter selskapet fortsatt den eldre protokollen, mens de anbefaler at kundene i stedet bruker Kerberos.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Som vi alle vet, selv om en teknologi eller protokoll er gammel, utdatert eller ikke lenger anbefalt, betyr det ikke at organisasjoner ikke lenger bruker den. Problemet er at NTLM kontinuerlig plages av sikkerhetshull. I en rapport utgitt på tirsdag beskriver sikkerhetsleverandør Preempt de siste feilene og tilbyr råd om hvordan du kan beskytte nettverket ditt mot dem.

I rapporten sa Preempt at den nylig avdekket to kritiske Microsoft-sårbarheter basert på tre logiske feil i NTLM. Disse sårbarhetene kan tillate at angripere eksternt kjører ondsinnet kode på hvilken som helst Windows-maskin eller autentiserer til hvilken som helst webserver som støtter Windows Integrated Authentication (WIA), for eksempel Exchange eller ADFS. Preempt's forskning indikerer at alle versjoner av Windows er mottakelige for disse feilene.

En viktig fallgruve i NTLM er at den er åpen for stafettangrep, opplyser rapporten, en prosess som lar angripere fange en autentisering på en server og deretter videresende den til en annen server, og åpne døren for at de kan kontrollere den eksterne serveren ved å bruke de samme legitimasjonene. .

Microsoft har utviklet flere rettelser for å forhindre NTLM-stafettangrep, men angripere kan finne måter å omgå dem via følgende tre logiske feil:

  • MIC-feltet (Message Integrity Code) prøver å forhindre at angripere tukler med NTLM-meldinger. Preempt-forskere oppdaget imidlertid at angripere kan fjerne MIC-beskyttelsen og endre visse felt som brukes av NTLM-godkjenningen.
  • SMB Session Signing forhindrer angripere fra å videresende NTLM-autentiseringsmeldinger som en måte å etablere SMB- og DCE / RPC-økter. Men Preempt fant at angripere kan videresende NTLM-godkjenningsforespørsler til enhver server i et domene, inkludert domenekontrollere, og opprette en signert økt for å utføre kode på en ekstern maskin. Hvis den videresendte godkjenningen inneholder legitimasjon for en privilegert bruker, kan hele domenet være i fare.
  • Forbedret beskyttelse for autentisering (EPA) forhindrer angripere fra å videresende NTLM-meldinger til TLS-økter. Men Preempt oppdaget at angripere kunne endre NTLM-meldinger for å generere legitim kanalbindingsinformasjon. Slike angripere kan deretter koble seg til webservere i domenet ved å bruke brukerens legitimasjon, og dermed la dem lese brukerens e-postmeldinger ved å videresende til en Outlook Web Access-server eller koble til skyressurser ved å videresende til en (ADFS) Active Directory Federation Services-server .

Tirsdag utsteder Microsoft to oppdateringer for å prøve å kaste opp de siste sikkerhetshullene i NTLM. Utover å oppfordre organisasjoner til å lappe sårbare systemer med disse nye oppdateringene, tilbyr Preempt andre råd.

Lapp

Forsikre deg om at alle arbeidsstasjoner og servere er ordentlig oppdatert med Microsofts siste oppdateringer. Se etter Microsofts CVE-2019-1040 og CVE-2019-1019 på Patch tirsdag 11. juni. Men å lappe i seg selv er ikke nok, ifølge Preempt, som også anbefaler flere konfigurasjonsinnstillinger.

konfigurasjon

  • Håndhev SMB-signering . For å forhindre at angripere starter enklere NTLM-stafettangrep, slå på SMB Signing på alle nettverksmaskiner.
  • Blokker NTLMv1 . Siden NTLMv1 anses som usikker, råder Preempt organisasjoner til å blokkere den fullstendig gjennom riktig gruppepolitisk innstilling.
  • Håndhev LDAP / S-signering . For å forhindre NTLM-stafett i LDAP, må du håndheve LDAP-signering og LDAPS-kanalbinding på domenekontrollere.
  • Håndhev EPA . For å forhindre NTLM-stafett på webservere, må du hardne alle webservere (OWA, ADFS) slik at de bare godtar forespørsler med EPA.

"Selv om NTLM Relay er en gammel teknikk, kan ikke foretak eliminere bruken av protokollen fullstendig, da den vil ødelegge mange bruksområder. Derfor utgjør den fremdeles en betydelig risiko for foretak, spesielt med nye sårbarheter som oppdages konstant, " Roman Blachman, Preempt's CTO og medgründer, sa det i en pressemelding. "Bedrifter må først og fremst sørge for at alle Windows-systemene deres er oppdatert og sikkert konfigurert. I tillegg kan organisasjoner beskytte miljøet ytterligere ved å få NTLM-synlighet i nettverket."

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com