| Softwaregeek

Een enorme nieuwe kwetsbaarheid is gevonden in Microsofts NTLM-authenticatieprotocol, wat kan resulteren in de uitvoering van externe code op elke Windows-machine of authenticatie naar elke webserver die WIA (Geïntegreerde Windows-verificatie), zoals Exchange of ADFS, ondersteunt.

De twee kritieke Microsoft-kwetsbaarheden die uit drie logische tekortkomingen bestaan, werden ontdekt door het Preempt-onderzoeksteam. Ze melden dat alle Windows-versies kwetsbaar zijn en dat de fout voorbijgaat aan eerdere mitigaties die Microsoft heeft aangebracht.

NTLM Relay is een van de meest voorkomende aanvalstechnieken die worden gebruikt in Active Directory-omgevingen, en hoewel Microsoft eerder verschillende verzachtende maatregelen heeft ontwikkeld voor het voorkomen van NTLM relay-aanvallen, ontdekten de Preempt-onderzoekers dat die mitigaties de volgende misbruikbare fouten bevatten:

Het veld Message Integrity Code (MIC) zorgt ervoor dat aanvallers NTLM-berichten niet manipuleren.  De bypass die is ontdekt door Preempt-onderzoekers, stelt aanvallers in staat de ‘MIC’-bescherming te verwijderen en verschillende velden in de NTLM-authenticatiestroom te wijzigen, zoals ondertekening van onderhandelingen.

SMB Session Signing voorkomt dat aanvallers NTLM-authenticatieberichten doorsturen om SMB- en DCE / RPC-sessies tot stand te brengen. Met de bypass kunnen aanvallers NTLM-verificatieverzoeken doorgeven aan elke server in het domein, inclusief domeincontrollers, terwijl een ondertekende sessie wordt opgezet om uitvoering van externe code uit te voeren. Als de relayed-verificatie een geprivilegieerde gebruiker is, betekent dit een volledig domeincompromis.

Enhanced Protection for Authentication (EPA) voorkomt dat aanvallers NTLM-berichten doorsturen naar TLS-sessies.  Met de bypass kunnen aanvallers NTLM-berichten aanpassen om legitieme kanaalbindingsinformatie te genereren. Hiermee kunnen aanvallers verbinding maken met verschillende webservers met behulp van de rechten van de aangevallen gebruiker en bewerkingen uitvoeren zoals: de e-mails van de gebruiker lezen (door door te sturen naar OWA-servers) of zelfs verbinding maken met cloudresources (door door te sturen naar ADFS-servers).

Preempt heeft op verantwoorde wijze de kwetsbaarheid openbaar gemaakt aan Microsoft, die op Cred-2019-1040 en CVE-2019-1019 op Patch Tuesday heeft vrijgegeven om het probleem aan te pakken. Preempt waarschuwt echter dat dit niet genoeg is en dat admins ook enkele configuratiewijzigingen moeten beïnvloeden om bescherming te garanderen.

Om uw netwerk te beschermen:

  1. Patch – Zorg dat de werkstations en servers correct zijn gepatcht.
  2. Configureer
  • Handhaven van SMB-ondertekening  – Om te voorkomen dat aanvallers eenvoudiger NTLM-relayaanvallen starten, schakelt u SMB Ondertekening in op alle computers in het netwerk.
  • Block NTLMv1  – Aangezien NTLMv1 als aanzienlijk minder veilig wordt beschouwd; het wordt aanbevolen om het volledig te blokkeren door het juiste GPO in te stellen.
  • LDAP / S-ondertekening afdwingen  – Om LDL-relay in LDAP te voorkomen, moet u LDAP-ondertekening en LDAPS-kanaalbinding voor domeincontrollers afdwingen.
  • EPA afdwingen  – verhinder dat alle webservers (OWA, ADFS) alleen verzoeken met EPA accepteren om NTLM-relay op webservers te voorkomen.

3. Verlaag het gebruik van NTLM  – Zelfs met volledig beveiligde configuratie en gepatchte servers vormt NTLM een aanzienlijk groter risico dan Kerberos. Het wordt aanbevolen dat u NTLM verwijdert waar dit niet nodig is.

Pin It on Pinterest