Cookie Consent by Free Privacy Policy Generator website
I ricercatori di Preempt hanno scoperto due vulnerabilità critiche in Microsoft NTLM
Share this… Facebook Pinterest Twitter Linkedin I ricercatori di Preempt hanno scoperto due vulnerabilità critiche in Microsoft NTLM
abb rinascimento dig

Preempt, provider di accesso condizionato per la prevenzione delle minacce in tempo reale, ha annunciato che il suo team di ricerca ha individuato due vulnerabilità critiche derivanti da tre difetti logici in NTLM, il protocollo di autenticazione proprietario di Microsoft. Tali vulnerabilità consentono agli autori di attacchi di eseguire da remoto il codice dannoso su qualsiasi computer Windows e di accedere a qualsiasi server Web che impiega l’autenticazione integrata di Windows (WIA), come per esempio Exchange e ADFS. La ricerca ha dimostrato che tutte le versioni di Windows sono vulnerabili.

NTLM è suscettibile ad attacchi di tipo “relay”, in cui l’aggressore acquisisce un’autenticazione e la trasferisce a un altro server per garantirsi la possibilità di eseguire operazioni su tale macchina in virtù dei privilegi dell’utente autenticato sul server iniziale. Gli attacchi di tipo NTLM Relay sono molto comuni negli ambienti Active Directory, in cui l’aggressore compromette una macchina, poi si sposta lateralmente su altre macchine utilizzando l’autenticazione ottenuta sul server NTLM compromesso.

Già in passato Microsoft ha sviluppato diverse attenuazioni per prevenire attacchi di tipo NTLM Relay. Ora, i ricercatori di Preempt hanno scoperto che queste attenuazioni hanno difetti che possono essere sfruttati dagli aggressori:

  • Il campo Message Integrity Code (MIC) garantisce che gli utenti malintenzionati non manomettano i messaggi NTLM. La falla scoperta dai ricercatori di Preempt consente agli aggressori di rimuovere la protezione “MIC” e modificare vari campi nel flusso di autenticazione NTLM, come la negoziazione della firma.
  • SMB Session Signing impedisce agli aggressori di inoltrare messaggi di autenticazione NTLM per stabilire sessioni SMB e DCE/RPC. La falla scoperta dai ricercatori di Preempt consente agli aggressori di inoltrare richieste di autenticazione NTLM a qualsiasi server nel dominio, inclusi i controller di dominio, e allo stesso tempo di stabilire una sessione firmata per eseguire codice da remoto. Se l’autenticazione ottenuta sul server iniziale è di un utente privilegiato, questo significa la compromissione dell’intero dominio.
  • La protezione avanzata per l’autenticazione (EPA) impedisce agli aggressori di inoltrare i messaggi NTLM alle sessioni TLS. La falla scoperta dai ricercatori di Preempt consente agli aggressori di modificare i messaggi NTLM per generare informazioni legittime sul binding del canale. Ciò consente agli aggressori di connettersi a vari server Web utilizzando i privilegi dell’utente compromesso ed eseguire operazioni quali leggere le e-mail dell’utente (accedendo a server OWA) o persino connettersi alle risorse cloud (mediante l’accesso ai server ADFS).

“Anche se gli attacchi di tipo NTLM Relay si basano su una tecnica datata, le aziende non possono eliminare completamente l’uso del protocollo in quanto questo interrompe molte applicazioni. Di conseguenza, rappresenta ancora un rischio rilevante per le aziende, in particolare alla luce delle nuove vulnerabilità scoperte con frequenza”, ha spiegato Roman Blachman, Chief Technology Officer e co-fondatore di Preempt. “Le aziende devono prima di tutto assicurarsi che tutti i loro sistemi Windows siano configurati in modo corretti e sicuro. Le organizzazioni possono anche proteggere ulteriormente i loro ambienti ottenendo visibilità NTLM di rete. Preempt collabora con i propri clienti per garantire che essi abbiano tale visibilità e la migliore protezione possibile”.

Per proteggersi da queste vulnerabilità le organizzazioni devono:

Applicare le patch: assicurarsi che su workstation e server siano installate tutte le patch. È anche importante notare che le patch da sole non sono sufficienti, per essere completamente protette le aziende devono anche apportare modifiche alla configurazione.

Configurazione:

    1. Applicazione della firma SMB: applicare la firma SMB per impedire agli aggressori di lanciare attacchi NTLM Relay più semplici, attivare la firma SMB su tutte le macchine della rete.
    2. Blocco di NTLMv1: bloccare NTLMv1 in quanto è considerato molto meno sicuro; si consiglia di bloccarlo completamente impostando il GPO appropriato.
    3. Applicazione della firma LDAP/S: applicare la firma LDAP/S per impedire attacchi di tipo NTLM Relay in LDAP, applicare la firma LDAP e il binding del canale LDAPS sui controller di dominio.
    4. Applicazione di EPA: per impedire attacchi di tipo NTLM Relay sui server Web, configurare tutti i server Web (OWA, ADFS) in maniera che accettino esclusivamente le richieste con EPA.

Ridurre l’utilizzo di NTLM: anche con la configurazione completamente protetta e i server aggiornati con tutte le patch, NTLM rappresenta un rischio significativamente maggiore di Kerberos. Si consiglia di rimuovere NTLM se non è necessario.

Nella foto Roman Blachman, Chief Technology Officer e co-fondatore di Preempt.

Share this…

About author

digitalvoice

555555555555555555555 ssssssssssss