近日，外媒報(bào)道了微軟NTLM協(xié)議中存在的新漏洞，或?qū)е略谌魏蜽indows計(jì)算機(jī)上執(zhí)行遠(yuǎn)程代碼、或?qū)θ魏沃С諻indows集成身份驗(yàn)證(WIA)的Web服務(wù)

近日，外媒報(bào)道了微軟NTLM協(xié)議中存在的新漏洞，或?qū)е略谌魏蜽indows計(jì)算機(jī)上執(zhí)行遠(yuǎn)程代碼、或?qū)θ魏沃С諻indows集成身份驗(yàn)證(WIA)的Web服務(wù)器(如Exchange和ADFS)進(jìn)行身份驗(yàn)證。具體說(shuō)來(lái)是，Perrmpt研究小組發(fā)現(xiàn)了由三個(gè)邏輯缺陷組成的兩個(gè)嚴(yán)重漏洞，且所有Windows版本都易受到攻擊影響。更糟糕的是，新漏洞可繞過(guò)微軟此前已部署的緩解措施。

NTLM中繼流程示意(來(lái)自：HelpNetSecurity，via MSPU)

據(jù)悉，NTLM Relay是Active Directory環(huán)境中最常用的攻擊技術(shù)之一。雖然微軟此前已經(jīng)開(kāi)發(fā)了幾種緩解NTLM中繼攻擊的緩解措施，但Preempt研究人員發(fā)現(xiàn)其仍然存在隱患：

- 消息完整性代碼(MIC)字段可確保攻擊者不會(huì)篡改NTLM消息，但研究人員發(fā)現(xiàn)的旁路攻擊，可以卸下MIC的保護(hù)，并修改NTLM身份驗(yàn)證流程中的各個(gè)字段，如簽名協(xié)商。

- SMB會(huì)話簽名可防止攻擊者轉(zhuǎn)發(fā)NTLM身份驗(yàn)證消息以建立SMB和DCE / RPC會(huì)話，但旁路攻擊仍能將NTLM身份驗(yàn)證請(qǐng)求中繼到域中的任何服務(wù)器(包括域控制器)，同時(shí)建立簽名會(huì)話以執(zhí)行遠(yuǎn)程代碼。如果中繼身份驗(yàn)證屬于特權(quán)用戶，則會(huì)對(duì)全域造成損害。

- 增強(qiáng)型身份驗(yàn)證保護(hù)(EPA)可防止攻擊者將NTLM消息轉(zhuǎn)發(fā)到TLS會(huì)話，但攻擊者仍可繞過(guò)并修改NTLM消息，以生成合法的通道綁定信息。這使得攻擊者可利用用戶權(quán)限連接到各種Web服務(wù)，并執(zhí)行讀取用戶電子郵件(通過(guò)中繼到OWA服務(wù)器)、甚至連接到云資源(通過(guò)中繼到ADFS服務(wù)器)等各種操作。

Preempt負(fù)責(zé)地向微軟公司披露了上述漏洞，后者在周二的時(shí)候發(fā)布了CVE-2019-1040和CVE-2019-1019補(bǔ)丁來(lái)應(yīng)對(duì)這些問(wèn)題。

然而Preempt警告稱，這么做還不足以充分應(yīng)對(duì)NTLM Relay帶來(lái)的安全隱患，因?yàn)楣芾韱T還需要對(duì)某些配置加以更改，才能確保有效的防護(hù)。

下面是管理員的建議操作：

(1)執(zhí)行修補(bǔ)程序——確保為工作站和服務(wù)器打上了所需的補(bǔ)丁。

(2)強(qiáng)制SMB簽名，放置攻擊者發(fā)起更簡(jiǎn)單的NTLM中繼攻擊，請(qǐng)務(wù)必在網(wǎng)絡(luò)中的所有計(jì)算機(jī)上啟用SMB簽名。

(3)屏蔽NTLMv1——該版本相當(dāng)不安全，建議通過(guò)適當(dāng)?shù)慕M策略來(lái)完全封禁。

(4)強(qiáng)制執(zhí)行LDAP / S簽名——要防止LDAP中的NTLM中繼，請(qǐng)?jiān)谟蚩刂破魃蠌?qiáng)制執(zhí)行LDAP簽名和LDAPS通道綁定。

(5)實(shí)施EPA——為防止Web服務(wù)器上的NTLM中繼，請(qǐng)強(qiáng)化所有Web服務(wù)器(OWA / ADFS)，僅接受使用EPA的請(qǐng)求。

(6)減少NTLM的使用——因?yàn)榧幢悴捎昧送暾陌踩渲?，NTLM也會(huì)比Kerberos帶來(lái)更大的安全隱患，建議在不必要的環(huán)境中徹底棄用。

關(guān)鍵詞： 微軟 NTLM協(xié)議 漏洞