TwitterLinkedin
I ricercatori di Preempt hanno scoperto due vulnerabilità critiche in Microsoft NTLM
I ricercatori di Preempt hanno scoperto due vulnerabilità critiche in Microsoft NTLM
Puliamo il mondo 2019

Preempt, provider di accesso condizionato per la prevenzione delle minacce in tempo reale, ha annunciato che il suo team di ricerca ha individuato due vulnerabilità critiche derivanti da tre difetti logici in NTLM, il protocollo di autenticazione proprietario di Microsoft. Tali vulnerabilità consentono agli autori di attacchi di eseguire da remoto il codice dannoso su qualsiasi computer Windows e di accedere a qualsiasi server Web che impiega l’autenticazione integrata di Windows (WIA), come per esempio Exchange e ADFS. La ricerca ha dimostrato che tutte le versioni di Windows sono vulnerabili.

NTLM è suscettibile ad attacchi di tipo “relay”, in cui l’aggressore acquisisce un’autenticazione e la trasferisce a un altro server per garantirsi la possibilità di eseguire operazioni su tale macchina in virtù dei privilegi dell’utente autenticato sul server iniziale. Gli attacchi di tipo NTLM Relay sono molto comuni negli ambienti Active Directory, in cui l’aggressore compromette una macchina, poi si sposta lateralmente su altre macchine utilizzando l’autenticazione ottenuta sul server NTLM compromesso.

Già in passato Microsoft ha sviluppato diverse attenuazioni per prevenire attacchi di tipo NTLM Relay. Ora, i ricercatori di Preempt hanno scoperto che queste attenuazioni hanno difetti che possono essere sfruttati dagli aggressori:

  • Il campo Message Integrity Code (MIC) garantisce che gli utenti malintenzionati non manomettano i messaggi NTLM. La falla scoperta dai ricercatori di Preempt consente agli aggressori di rimuovere la protezione “MIC” e modificare vari campi nel flusso di autenticazione NTLM, come la negoziazione della firma.
  • SMB Session Signing impedisce agli aggressori di inoltrare messaggi di autenticazione NTLM per stabilire sessioni SMB e DCE/RPC. La falla scoperta dai ricercatori di Preempt consente agli aggressori di inoltrare richieste di autenticazione NTLM a qualsiasi server nel dominio, inclusi i controller di dominio, e allo stesso tempo di stabilire una sessione firmata per eseguire codice da remoto. Se l’autenticazione ottenuta sul server iniziale è di un utente privilegiato, questo significa la compromissione dell’intero dominio.
  • La protezione avanzata per l’autenticazione (EPA) impedisce agli aggressori di inoltrare i messaggi NTLM alle sessioni TLS. La falla scoperta dai ricercatori di Preempt consente agli aggressori di modificare i messaggi NTLM per generare informazioni legittime sul binding del canale. Ciò consente agli aggressori di connettersi a vari server Web utilizzando i privilegi dell’utente compromesso ed eseguire operazioni quali leggere le e-mail dell’utente (accedendo a server OWA) o persino connettersi alle risorse cloud (mediante l’accesso ai server ADFS).

“Anche se gli attacchi di tipo NTLM Relay si basano su una tecnica datata, le aziende non possono eliminare completamente l’uso del protocollo in quanto questo interrompe molte applicazioni. Di conseguenza, rappresenta ancora un rischio rilevante per le aziende, in particolare alla luce delle nuove vulnerabilità scoperte con frequenza”, ha spiegato Roman Blachman, Chief Technology Officer e co-fondatore di Preempt. “Le aziende devono prima di tutto assicurarsi che tutti i loro sistemi Windows siano configurati in modo corretti e sicuro. Le organizzazioni possono anche proteggere ulteriormente i loro ambienti ottenendo visibilità NTLM di rete. Preempt collabora con i propri clienti per garantire che essi abbiano tale visibilità e la migliore protezione possibile”.

Per proteggersi da queste vulnerabilità le organizzazioni devono:

Applicare le patch: assicurarsi che su workstation e server siano installate tutte le patch. È anche importante notare che le patch da sole non sono sufficienti, per essere completamente protette le aziende devono anche apportare modifiche alla configurazione.

Configurazione:

    1. Applicazione della firma SMB: applicare la firma SMB per impedire agli aggressori di lanciare attacchi NTLM Relay più semplici, attivare la firma SMB su tutte le macchine della rete.
    2. Blocco di NTLMv1: bloccare NTLMv1 in quanto è considerato molto meno sicuro; si consiglia di bloccarlo completamente impostando il GPO appropriato.
    3. Applicazione della firma LDAP/S: applicare la firma LDAP/S per impedire attacchi di tipo NTLM Relay in LDAP, applicare la firma LDAP e il binding del canale LDAPS sui controller di dominio.
    4. Applicazione di EPA: per impedire attacchi di tipo NTLM Relay sui server Web, configurare tutti i server Web (OWA, ADFS) in maniera che accettino esclusivamente le richieste con EPA.

Ridurre l’utilizzo di NTLM: anche con la configurazione completamente protetta e i server aggiornati con tutte le patch, NTLM rappresenta un rischio significativamente maggiore di Kerberos. Si consiglia di rimuovere NTLM se non è necessario.

Nella foto Roman Blachman, Chief Technology Officer e co-fondatore di Preempt.

About author

digitalvoice

CONTACT US
221, Mount Olimpus, Rheasilvia, Mars,
Solar System, Milky Way Galaxy
+1 (999) 999-99-99
PGlmcmFtZSBzcmM9Imh0dHBzOi8vd3d3Lmdvb2dsZS5jb20vbWFwcy9lbWJlZD9wYj0hMW0xOCExbTEyITFtMyExZDYwNDQuMjc1NjM3NDU2ODA1ITJkLTczLjk4MzQ2MzY4MzI1MjA0ITNkNDAuNzU4OTkzNDExNDc4NTMhMm0zITFmMCEyZjAhM2YwITNtMiExaTEwMjQhMmk3NjghNGYxMy4xITNtMyExbTIhMXMweDAlM0EweDU1MTk0ZWM1YTFhZTA3MmUhMnNUaW1lcytTcXVhcmUhNWUwITNtMiExc2VuITJzITR2MTM5MjkwMTMxODQ2MSIgd2lkdGg9IjEwMCUiIGhlaWdodD0iMTAwJSIgZnJhbWVib3JkZXI9IjAiIHN0eWxlPSJib3JkZXI6MCI+PC9pZnJhbWU+
Thank You. We will contact you as soon as possible.
COMPANY NAME
Dolor aliquet augue augue sit magnis, magna aenean aenean et! Et tempor, facilisis cursus turpis tempor odio. Diam lorem auctor sit, a a? Lundium placerat mus massa nunc habitasse.
  • Goblinus globalus fantumo tubus dia montes
  • Scelerisque cursus dignissim lopatico vutario
  • Montes vutario lacus quis preambul denlac
  • Leftomato denitro oculus softam lorum quis
  • Spiratio dodenus christmas gulleria tix digit
  • Dualo fitemus lacus quis preambul patturtul
CONTACT US
Thank You. We will contact you as soon as possible.
Increase more than 700% of Email Subscribers!
Dolor aliquet augue augue sit magnis, magna aenean aenean et! Et tempor, facilisis cursus turpis tempor odio. Diam lorem auctor sit, a a? Lundium placerat mus massa nunc habitasse, arcu, etiam pulvinar.
  • Goblinus globalus fantumo tubus dia
  • Scelerisque cursus dignissim lopatico
  • Montes vutario lacus quis preambul den
  • Leftomato denitro oculus softam lorum
  • Spiratio dodenus christmas gulleria tix
  • Dualo fitemus lacus quis preambul pat
  • Montes vutario lacus quis digit turtulis
  We hate spam and never share your details.
Vuoi registrarti alla nostra newsletter ?
CONTACT US
221, Mount Olimpus, Rheasilvia, Mars,
Solar System, Milky Way Galaxy
+1 (999) 999-99-99
PGlmcmFtZSBzcmM9Imh0dHBzOi8vd3d3Lmdvb2dsZS5jb20vbWFwcy9lbWJlZD9wYj0hMW0xOCExbTEyITFtMyExZDYwNDQuMjc1NjM3NDU2ODA1ITJkLTczLjk4MzQ2MzY4MzI1MjA0ITNkNDAuNzU4OTkzNDExNDc4NTMhMm0zITFmMCEyZjAhM2YwITNtMiExaTEwMjQhMmk3NjghNGYxMy4xITNtMyExbTIhMXMweDAlM0EweDU1MTk0ZWM1YTFhZTA3MmUhMnNUaW1lcytTcXVhcmUhNWUwITNtMiExc2VuITJzITR2MTM5MjkwMTMxODQ2MSIgd2lkdGg9IjEwMCUiIGhlaWdodD0iMTAwJSIgZnJhbWVib3JkZXI9IjAiIHN0eWxlPSJib3JkZXI6MCI+PC9pZnJhbWU+
Thank You. We will contact you as soon as possible.
COMPANY NAME
Dolor aliquet augue augue sit magnis, magna aenean aenean et! Et tempor, facilisis cursus turpis tempor odio. Diam lorem auctor sit, a a? Lundium placerat mus massa nunc habitasse.
  • Goblinus globalus fantumo tubus dia montes
  • Scelerisque cursus dignissim lopatico vutario
  • Montes vutario lacus quis preambul denlac
  • Leftomato denitro oculus softam lorum quis
  • Spiratio dodenus christmas gulleria tix digit
  • Dualo fitemus lacus quis preambul patturtul
CONTACT US
Thank You. We will contact you as soon as possible.
Do you want more traffic?
Dignissim enim porta aliquam nisi pellentesque. Pulvinar rhoncus magnis turpis sit odio pid pulvinar mattis integer aliquam!
  • Goblinus globalus fantumo tubus dia
  • Scelerisque cursus dignissim lopatico
  • Montes vutario lacus quis preambul
  • Leftomato denitro oculus softam lorum
  • Spiratio dodenus christmas gulleria tix
  • Dualo fitemus lacus quis preambul bela
PGlmcmFtZSB3aWR0aD0iMTAwJSIgaGVpZ2h0PSIxMDAlIiBzcmM9Imh0dHA6Ly93d3cueW91dHViZS5jb20vZW1iZWQvajhsU2NITzJtTTAiIGZyYW1lYm9yZGVyPSIwIiBhbGxvd2Z1bGxzY3JlZW4+PC9pZnJhbWU+
* we never share your details with third parties.