|
|
51CTO旗下网站
|
|
移动端

如何保护网络远离微软NTLM协议中的安全漏洞?

安全提供商Preempt最近发现了NTLM中的漏洞,让攻击者可以在任何Windows计算机上远程执行恶意代码,或者通过身份验证,连接到支持Windows Integrated Authentication的任何Web服务器。

作者:布加迪编译来源:51CTO.com|2019-06-12 16:16

【51CTO.com快译】微软的NTLM(NT LAN Manager)是一种较旧且现已过时的安全协议,用于对Windows域中的用户登录信息进行身份验证。虽然微软早已将NTLM换成Kerberos、作为Active Directory的默认验证方法,但该公司仍然支持这种旧协议,同时建议客户改而采用Kerberos。

如何保护网络远离微软NTLM协议中的安全漏洞?

众所周知,即使一种技术或协议陈旧、过时或不再被推荐,这并不意味着企业组织不再使用它。问题是,NTLM一直受到安全漏洞的困扰。在周二发布的一份报告中,安全提供商Preempt描述了最新的漏洞,并就如何保护网络远离这些漏洞给出了忠告。

Preempt在报告中表示,它最近基于NTLM中的三个逻辑漏洞发现了两个关键的微软漏洞。这些漏洞可能让攻击者可以在任何Windows计算机上远程执行恶意代码,或者通过身份验证,连接到支持Windows Integrated Authentication(WIA)的任何Web服务器,比如Exchange或ADFS。Preempt的研究表明,所有版本的Windows都容易受到这些漏洞的影响。

报告特别指出,NTLM的一大缺陷是它容易受到转发攻击(relay attack),这个过程让攻击者可以在一台服务器上获取身份验证,然后将其转发到另一台服务器,从而让他们可以使用那些同样的登录信息来控制远程服务器。

微软已开发了几个修复程序来防止NTLM转发攻击,但攻击者可以通过以下三个逻辑漏洞找到绕过它们的方法:

  • 消息完整性代码(MIC)字段试图防止攻击者篡改NTLM消息。然而Preempt的研究人员发现,攻击者可以删除MIC保护机制,并更改NTLM验证使用的某些字段。
  • SMB会话签名可防止攻击者转发NTLM身份验证消息,以此建立SMB会话和DCE/RPC会话。但Preempt发现攻击者可以将NTLM身份验证请求转发到域中的任何一台服务器(包括域控制器),并创建签名会话以便在远程计算机上执行代码。如果转发的身份验证含有特权用户的登录信息,整个域可能岌岌可危。
  • 增强的身份验证保护(EPA)可防止攻击者将NTLM消息转发到TLS会话。但是Preempt发现攻击者可以篡改NTLM消息,以生成合法的通道绑定信息。然后这类攻击者可以使用用户的登录信息,连接到域中的Web服务器,从而得以通过转发到Outlook Web Access服务器或通过转发到(ADFS)Active Directory Federation Services服务器以连接到云资源,读取用户的电子邮件。

周二微软将发布两个补丁,试图堵住NTLM中这些最新的安全漏洞。除了敦促企业组织给高危系统打上这些新的补丁外,Preempt还给出了其他建议。

补丁

确保给所有工作站和服务器打上了微软的最新补丁。寻找微软在6月11日星期二的CVE-2019-1040和CVE-2019-1019补丁。据Preempt声称,光打补丁本身并不够,它还建议在配置方面进行几处调整。

配置

  • 实施SMB签名机制。想防止攻击者发起较简单的NTLM转发攻击,请在所有联网计算机上启用SMB签名机制。
  • 阻止NTLMv1。由于NTLMv1被认为不安全,Preempt建议企业组织通过适当的组策略设置完全阻止它。
  • 实施LDAP/S签名机制。想防止LDAP中的NTLM转发,请对域控制器实施LDAP签名和LDAPS通道绑定机制。
  • 实施EPA。想防止Web服务器上的NTLM转发,请加固所有Web服务器(OWA和ADFS),只接受采用EPA的请求。

Preempt的首席技术官兼联合创始人Roman Blachman在一份新闻稿中说:“尽管NTLM 转发攻击是一种老套的手法,企业却无法彻底消除使用这种协议,因为这会破坏许多应用程序。因此它仍给企业带来了巨大的风险,尤其是在新漏洞不断被发现的情况下。公司需要先确保所有Windows系统都已打上补丁、安全配置。此外,企业组织可以通过了解网络NTLM的情况,进一步保护环境。”

原文标题:How to protect your network against security flaws in Microsoft's NTLM protocol,作者:Lance Whitney

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

【编辑推荐】

  1. cURL/libcURL NTLM 用户名处理缓存溢出漏洞
  2. 多家厂商的 WGet/Curl NTLM 用户名缓存溢出漏洞
  3. 详解屏蔽Telnet服务的NTLM认证
  4. Metasploit+Python实现NTLMv2攻击
  5. 微软7月周二补丁日:发布Windows NTLM补丁
【责任编辑:未丽燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

20个局域网建设改造案例

20个局域网建设改造案例

网络搭建技巧
共20章 | 捷哥CCIE

361人订阅学习

WOT2019全球人工智能技术峰会

WOT2019全球人工智能技术峰会

通用技术、应用领域、企业赋能三大章节,13大技术专场,60+国内外一线人工智能精英大咖站台,分享人工智能的平台工具、算法模型、语音视觉等技术主题,助力人工智能落地。
共50章 | WOT峰会

0人订阅学习

Spring Boot 爬虫搜索轻松游

Spring Boot 爬虫搜索轻松游

全栈式开发之旅
共4章 | 美码师

86人订阅学习

读 书 +更多

高质量程序设计指南:C++/C语言(第3版)

本书以轻松幽默的笔调向读者论述了高质量软件开发方法与C++/C编程规范。它是作者多年从事软件开发工作的经验总结。本书共17章,第1章到第4...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客