近日Preempt研究小組發(fā)現(xiàn)了兩個(gè)關(guān)鍵的微軟漏洞，這兩個(gè)漏洞都和三個(gè)NTLM中的邏輯漏洞有關(guān)，這些漏洞允許攻擊者在任何Windows計(jì)算機(jī)上遠(yuǎn)程執(zhí)行惡意代碼，或?qū)χС諻indows集成身份驗(yàn)證(WIA)的任何web服務(wù)器(如Exchange或ADFS)進(jìn)行身份驗(yàn)證。根據(jù)測(cè)試，目前所有Windows 版本都會(huì)受到這兩個(gè)漏洞的影響。更糟糕的是，這兩個(gè)漏洞可繞過(guò)微軟此前已部署的所有安全保護(hù)措施。

在允許的環(huán)境下，Kerberos是首選的認(rèn)證方式。在這之前，Windows主要采用另一種認(rèn)證協(xié)議——NTLM。NTLM使用在Windows NT和Windows 2000 Server工作組環(huán)境中。在AD域環(huán)境中，如果需要認(rèn)證Windows NT系統(tǒng)，也必須采用NTLM。

NTLM容易受到中繼攻擊，這允許攻擊者捕獲身份驗(yàn)證并將其轉(zhuǎn)發(fā)到另一臺(tái)服務(wù)器，從而使他們能夠冒用經(jīng)過(guò)身份驗(yàn)證的用戶的特權(quán)在遠(yuǎn)程服務(wù)器上執(zhí)行所有的操作。

NTLM Relay是Active Directory環(huán)境中最常見(jiàn)的攻擊技術(shù)之一，在Active Directory環(huán)境中，攻擊者先會(huì)攻擊一臺(tái)計(jì)算機(jī)，然后通過(guò)使用針對(duì)受感染服務(wù)器的NTLM身份驗(yàn)證向其他計(jì)算機(jī)擴(kuò)展。

微軟之前已經(jīng)開(kāi)發(fā)了幾個(gè)緩解NTLM RELAY攻擊的方法，但是研究人員發(fā)現(xiàn)這些方法都存在著以下缺陷:
1、基于消息完整性代碼(MIC)字段確保攻擊者不會(huì)篡改NTLM消息的措施：Preempt研究人員發(fā)現(xiàn)，只要繞過(guò)消息完整性代碼(MIC)字段，攻擊者就可以刪除“MIC”保護(hù)并修改NTLM身份驗(yàn)證流中的各個(gè)字段，比如簽名協(xié)商。

2、基于SMB會(huì)話簽名防止攻擊者發(fā)送NTLM身份驗(yàn)證消息來(lái)建立SMB和DCE/RPC會(huì)話的措施，Preempt研究人員發(fā)現(xiàn)，許攻擊只要繞過(guò)SMB會(huì)話簽名，就可以將NTLM身份驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)到域中的任何服務(wù)器，包括域控制器，同時(shí)偽造一個(gè)簽名會(huì)話來(lái)執(zhí)行遠(yuǎn)程代碼執(zhí)行。

3、基于增強(qiáng)的身份驗(yàn)證保護(hù)(EPA)防止攻擊者將NTLM消息轉(zhuǎn)發(fā)到TLS會(huì)話的措施，Preempt研究人員發(fā)現(xiàn)，攻擊者只要繞過(guò)身份驗(yàn)證保護(hù)(EPA)，就可以修改NTLM消息來(lái)生成合法的通道綁定信息。

微軟在6月11日的時(shí)候發(fā)布了CVE-2019-1040和CVE-2019-1019補(bǔ)丁來(lái)應(yīng)對(duì)這些問(wèn)題。即使執(zhí)行了這些修復(fù)，管理員還需要對(duì)某些配置加以更改，才能確保有效的防護(hù)。

為了保護(hù)公司免受這些漏洞的攻擊，建議管理員進(jìn)行以下操作:

執(zhí)行修補(bǔ)程序：確保為工作站和服務(wù)器打上了所需的補(bǔ)丁，要注意，單獨(dú)的補(bǔ)丁是不夠的，公司還需要進(jìn)行配置更改，以便得到完全的保護(hù)。
強(qiáng)制SMB簽名：為了防止攻擊者發(fā)起更簡(jiǎn)單的NTLM RELAY攻擊，請(qǐng)務(wù)必在網(wǎng)絡(luò)中的所有計(jì)算機(jī)上啟用SMB 簽名。
禁用NTLMv1：該版本相當(dāng)不安全，建議通過(guò)適當(dāng)?shù)慕M策略來(lái)完全禁用。
強(qiáng)制LDAP/S簽名：為了防止LDAP中的NTLM RELAY攻擊，在域控制器上強(qiáng)制LDAP簽名和LDAPS通道綁定。
強(qiáng)制實(shí)施EPA：為了防止NTLM在web服務(wù)器上被黑客用來(lái)發(fā)動(dòng)中繼攻擊，強(qiáng)制所有web服務(wù)器只接受EPA的請(qǐng)求。
減少NTLM的使用：因?yàn)榧幢悴捎昧送暾陌踩渲?，NTLM 也會(huì)比Kerberos 帶來(lái)更大的安全隱患，建議在不必要的環(huán)境中徹底棄用。

ice

收藏 海報(bào)分享