近日，外媒報道了微軟NTLM協(xié)議中存在的新漏洞，或?qū)е略谌魏蜽indows計算機上執(zhí)行遠程代碼、或?qū)θ魏沃С諻indows集成身份驗證(WIA)的Web服務(wù)

近日，外媒報道了微軟NTLM協(xié)議中存在的新漏洞，或?qū)е略谌魏蜽indows計算機上執(zhí)行遠程代碼、或?qū)θ魏沃С諻indows集成身份驗證(WIA)的Web服務(wù)器(如Exchange和ADFS)進行身份驗證。具體說來是，Perrmpt研究小組發(fā)現(xiàn)了由三個邏輯缺陷組成的兩個嚴重漏洞，且所有Windows版本都易受到攻擊影響。更糟糕的是，新漏洞可繞過微軟此前已部署的緩解措施。

NTLM中繼流程示意(來自：HelpNetSecurity，via MSPU)

據(jù)悉，NTLM Relay是Active Directory環(huán)境中最常用的攻擊技術(shù)之一。雖然微軟此前已經(jīng)開發(fā)了幾種緩解NTLM中繼攻擊的緩解措施，但Preempt研究人員發(fā)現(xiàn)其仍然存在隱患：

- 消息完整性代碼(MIC)字段可確保攻擊者不會篡改NTLM消息，但研究人員發(fā)現(xiàn)的旁路攻擊，可以卸下MIC的保護，并修改NTLM身份驗證流程中的各個字段，如簽名協(xié)商。

- SMB會話簽名可防止攻擊者轉(zhuǎn)發(fā)NTLM身份驗證消息以建立SMB和DCE / RPC會話，但旁路攻擊仍能將NTLM身份驗證請求中繼到域中的任何服務(wù)器(包括域控制器)，同時建立簽名會話以執(zhí)行遠程代碼。如果中繼身份驗證屬于特權(quán)用戶，則會對全域造成損害。

- 增強型身份驗證保護(EPA)可防止攻擊者將NTLM消息轉(zhuǎn)發(fā)到TLS會話，但攻擊者仍可繞過并修改NTLM消息，以生成合法的通道綁定信息。這使得攻擊者可利用用戶權(quán)限連接到各種Web服務(wù)，并執(zhí)行讀取用戶電子郵件(通過中繼到OWA服務(wù)器)、甚至連接到云資源(通過中繼到ADFS服務(wù)器)等各種操作。

Preempt負責地向微軟公司披露了上述漏洞，后者在周二的時候發(fā)布了CVE-2019-1040和CVE-2019-1019補丁來應(yīng)對這些問題。

然而Preempt警告稱，這么做還不足以充分應(yīng)對NTLM Relay帶來的安全隱患，因為管理員還需要對某些配置加以更改，才能確保有效的防護。

下面是管理員的建議操作：

(1)執(zhí)行修補程序——確保為工作站和服務(wù)器打上了所需的補丁。

(2)強制SMB簽名，放置攻擊者發(fā)起更簡單的NTLM中繼攻擊，請務(wù)必在網(wǎng)絡(luò)中的所有計算機上啟用SMB簽名。

(3)屏蔽NTLMv1——該版本相當不安全，建議通過適當?shù)慕M策略來完全封禁。

(4)強制執(zhí)行LDAP / S簽名——要防止LDAP中的NTLM中繼，請在域控制器上強制執(zhí)行LDAP簽名和LDAPS通道綁定。

(5)實施EPA——為防止Web服務(wù)器上的NTLM中繼，請強化所有Web服務(wù)器(OWA / ADFS)，僅接受使用EPA的請求。

(6)減少NTLM的使用——因為即便采用了完整的安全配置，NTLM也會比Kerberos帶來更大的安全隱患，建議在不必要的環(huán)境中徹底棄用。

關(guān)鍵詞： 微軟 NTLM協(xié)議 漏洞