微软NTLM协议曝出严重缝隙 现有缓解办法难完全修

作者:底伊乐发布时间:2019-07-29 21:10

  来历:cnBeta

  近来,外媒报导了微软NTLM协议中存在的新缝隙,或导致在任何Windows核算机上履行长途代码、或对任何支撑Windows集成身份验证(WIA)的Web服务器(如Exchange和ADFS)进行身份验证。具体说来是,Perrmpt研讨小组发现了由三个逻辑缺点组成的两个严峻缝隙,且一切Windows版别都易遭到进犯影响。更糟糕的是,新缝隙可绕过微软此前已布置的缓解办法。

NTLM中继流程暗示(来自:HelpNetSecurity,via MSPU)NTLM中继流程暗示(来自:HelpNetSecurity,via MSPU)

  据悉,NTLM Relay是Active Directory环境中最常用的进犯技能之一。尽管微软此前现已开发了几种缓解NTLM中继进犯的缓解办法,但Preempt研讨人员发现其依然存在危险:

  - 音讯完好性代码(MIC)字段可保证进犯者不会篡改NTLM音讯,但研讨人员发现的旁路进犯,能够卸下MIC的维护,并修正NTLM身份验证流程中的各个字段,如签名洽谈。

  - SMB会话签名可避免进犯者转发NTLM身份验证音讯以树立SMB和DCE / RPC会话,但旁路进犯仍能将NTLM身份验证恳求中继到域中的任何服务器(包含域控制器),一起树立签名会话以履行长途代码。假如中继身份验证归于特权用户,则会对全域形成危害。

  - 增强型身份验证维护(EPA)可避免进犯者将NTLM音讯转发到TLS会话,但进犯者仍可绕过并修正NTLM音讯,以生成合法的通道绑定信息。这使得进犯者可利用用户权限连接到各种Web服务,并履行读取用户电子邮件(经过中继到OWA服务器)、甚至连接到云资源(经过中继到ADFS服务器)等各种操作。

  Preempt担任地向微软公司披露了上述缝隙,后者在周二的时分发布了CVE-2019-1040和CVE-2019-1019补丁来应对这些问题。

  但是Preempt正告称,这么做还不足以充沛应对NTLM Relay带来的安全危险,由于管理员还需要对某些装备加以更改,才干保证有用的防护。

  下面是管理员的主张操作:

  (1)履行修补程序——保证为工作站和服务器打上了所需的补丁。

  (2)强制SMB签名,放置进犯者发起更简略的NTLM中继进犯,请必须在网络中的一切核算机上启用SMB签名。

  (3)屏蔽NTLMv1——该版别恰当不安全,主张经过恰当的组策略来完全封禁。

  (4)强制履行LDAP / S签名——要避免LDAP中的NTLM中继,请在域控制器上强制履行LDAP签名和LDAPS通道绑定。

  (5)施行EPA——为避免Web服务器上的NTLM中继,请强化一切Web服务器(OWA / ADFS),仅承受运用EPA的恳求。

推荐新闻: