如何保护网络远离微软ntlm协议中的安全漏洞?
2019-06-14 14:43:51
【51cto.com快译】微软的ntlm(nt lan manager)是一种较旧且现已过时的安全协议,用于对windows域中的用户登录信息进行身份验证。虽然微软早已将ntlm换成kerberos、作为active directory的默认验证方法,但该公司仍然支持这种旧协议,同时建议客户改而采用kerberos。
众所周知,即使一种技术或协议陈旧、过时或不再被推荐,这并不意味着企业组织不再使用它。问题是,ntlm一直受到安全漏洞的困扰。在周二发布的一份报告中,安全提供商preempt描述了最新的漏洞,并就如何保护网络远离这些漏洞给出了忠告。
preempt在报告中表示,它最近基于ntlm中的三个逻辑漏洞发现了两个关键的微软漏洞。这些漏洞可能让攻击者可以在任何windows计算机上远程执行恶意代码,或者通过身份验证,连接到支持windows integrated authentication(wia)的任何web服务器,比如exchange或adfs。preempt的研究表明,所有版本的windows都容易受到这些漏洞的影响。
报告特别指出,ntlm的一大缺陷是它容易受到转发攻击(relay attack),这个过程让攻击者可以在一台服务器上获取身份验证,然后将其转发到另一台服务器,从而让他们可以使用那些同样的登录信息来控制远程服务器。
微软已开发了几个修复程序来防止ntlm转发攻击,但攻击者可以通过以下三个逻辑漏洞找到绕过它们的方法:
消息完整性代码(mic)字段试图防止攻击者篡改ntlm消息。然而preempt的研究人员发现,攻击者可以删除mic保护机制,并更改ntlm验证使用的某些字段。
smb会话签名可防止攻击者转发ntlm身份验证消息,以此建立smb会话和dce/rpc会话。但preempt发现攻击者可以将ntlm身份验证请求转发到域中的任何一台服务器(包括域控制器),并创建签名会话以便在远程计算机上执行代码。如果转发的身份验证含有特权用户的登录信息,整个域可能岌岌可危。
增强的身份验证保护(epa)可防止攻击者将ntlm消息转发到tls会话。但是preempt发现攻击者可以篡改ntlm消息,以生成合法的通道绑定信息。然后这类攻击者可以使用用户的登录信息,连接到域中的web服务器,从而得以通过转发到outlook web access服务器或通过转发到(adfs)active directory federation services服务器以连接到云资源,读取用户的电子邮件。
周二微软将发布两个补丁,试图堵住ntlm中这些最新的安全漏洞。除了敦促企业组织给高危系统打上这些新的补丁外,preempt还给出了其他建议。
补丁
确保给所有工作站和服务器打上了微软的最新补丁。寻找微软在6月11日星期二的cve-2019-1040和cve-2019-1019补丁。据preempt声称,光打补丁本身并不够,它还建议在配置方面进行几处调整。
配置
实施smb签名机制。想防止攻击者发起较简单的ntlm转发攻击,请在所有联网计算机上启用smb签名机制。
阻止ntlmv1。由于ntlmv1被认为不安全,preempt建议企业组织通过适当的组策略设置完全阻止它。
实施ldap/s签名机制。想防止ldap中的ntlm转发,请对域控制器实施ldap签名和ldaps通道绑定机制。
实施epa。想防止web服务器上的ntlm转发,请加固所有web服务器(owa和adfs),只接受采用epa的请求。
preempt的首席技术官兼联合创始人roman blachman在一份新闻稿中说:“尽管ntlm 转发攻击是一种老套的手法,企业却无法彻底消除使用这种协议,因为这会破坏许多应用程序。因此它仍给企业带来了巨大的风险,尤其是在新漏洞不断被发现的情况下。公司需要先确保所有windows系统都已打上补丁、安全配置。此外,企业组织可以通过了解网络ntlm的情况,进一步保护环境。”
原文标题:how to protect your network against security flaws in microsoft's ntlm protocol,作者:lance whitney
稿源: 51cto.com,封面源自网络;
转载链接:http://netsecurity.51cto.com/art/201906/597823.htm
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权。
官方微信