近日Preempt研究小組發(fā)現(xiàn)了兩個關(guān)鍵的微軟漏洞，這兩個漏洞都和三個NTLM中的邏輯漏洞有關(guān)，這些漏洞允許攻擊者在任何Windows計算機(jī)上遠(yuǎn)程執(zhí)行惡意代碼，或?qū)χС諻indows集成身份驗(yàn)證(WIA)的任何web服務(wù)器(如Exchange或ADFS)進(jìn)行身份驗(yàn)證。根據(jù)測試，目前所有 Windows 版本都會受到這兩個漏洞的影響。更糟糕的是，這兩個漏洞可繞過微軟此前已部署的所有安全保護(hù)措施。

在允許的環(huán)境下，Kerberos是首選的認(rèn)證方式。在這之前，Windows主要采用另一種認(rèn)證協(xié)議——NTLM（NT Lan Manager）。NTLM使用在Windows NT和Windows 2000 Server（or later）工作組環(huán)境中（Kerberos用在域模式下）。在AD域環(huán)境中，如果需要認(rèn)證Windows NT系統(tǒng)，也必須采用NTLM。較之Kerberos，基于NTLM的認(rèn)證過程要簡單很多。NTLM采用一種質(zhì)詢/應(yīng)答（Challenge/Response）消息交換模式，下圖反映了Windows2000下整個NTLM認(rèn)證流程。

[[268069]]

微軟NTLM協(xié)議曝出巨大漏洞，現(xiàn)有安全保護(hù)措施也無用！

NTLM容易受到中繼攻擊，這允許攻擊者捕獲身份驗(yàn)證并將其轉(zhuǎn)發(fā)到另一臺服務(wù)器，從而使他們能夠冒用經(jīng)過身份驗(yàn)證的用戶的特權(quán)在遠(yuǎn)程服務(wù)器上執(zhí)行所有的操作。

NTLM Relay是Active Directory環(huán)境中最常見的攻擊技術(shù)之一，在Active Directory環(huán)境中，攻擊者先會攻擊一臺計算機(jī)，然后通過使用針對受感染服務(wù)器的NTLM身份驗(yàn)證向其他計算機(jī)擴(kuò)展。

微軟之前已經(jīng)開發(fā)了幾個緩解NTLM RELAY攻擊的方法，但是研究人員發(fā)現(xiàn)這些方法都存在著以下缺陷:

1.基于消息完整性代碼(MIC)字段確保攻擊者不會篡改NTLM消息的措施：Preempt研究人員發(fā)現(xiàn)，只要繞過消息完整性代碼(MIC)字段，攻擊者就可以刪除“MIC”保護(hù)并修改NTLM身份驗(yàn)證流中的各個字段，比如簽名協(xié)商。

2.基于SMB會話簽名防止攻擊者發(fā)送NTLM身份驗(yàn)證消息來建立SMB和DCE/RPC會話的措施，Preempt研究人員發(fā)現(xiàn)，許攻擊只要繞過SMB會話簽名，就可以將NTLM身份驗(yàn)證請求轉(zhuǎn)發(fā)到域中的任何服務(wù)器，包括域控制器，同時偽造一個簽名會話來執(zhí)行遠(yuǎn)程代碼執(zhí)行。如果轉(zhuǎn)發(fā)的身份驗(yàn)證屬于特權(quán)用戶，則意味著整個域都能被攻擊。

3.基于增強(qiáng)的身份驗(yàn)證保護(hù)(EPA)防止攻擊者將NTLM消息轉(zhuǎn)發(fā)到TLS會話的措施，Preempt研究人員發(fā)現(xiàn)，攻擊者只要繞過身份驗(yàn)證保護(hù)(EPA)，就可以修改NTLM消息來生成合法的通道綁定信息。這允許攻擊者使用被攻擊用戶的特權(quán)連接到各種web服務(wù)器，并執(zhí)行以下操作：通過中繼到OWA服務(wù)器，讀取用戶的電子郵件；甚至通過中繼到ADFS服務(wù)器，連接到云資源。

Preempt首席技術(shù)官Roman Blachman表示：

即使NTLM Relay是一項(xiàng)古老的技術(shù)，企業(yè)也無法徹底放棄對NTLM協(xié)議的使用，因?yàn)樗鼤茐脑S多應(yīng)用程序。因此，它仍然給企業(yè)帶來了巨大的風(fēng)險，尤其是在不斷發(fā)現(xiàn)新的漏洞的情況下，公司需要首先確保所有Windows系統(tǒng)都經(jīng)過修補(bǔ)和安全配置。此外，公司可以通過獲得網(wǎng)絡(luò)NTLM可見性來進(jìn)一步保護(hù)其環(huán)境。

在Preempt向微軟公司披露了上述漏洞后，微軟在6月11日的時候發(fā)布了CVE-2019-1040和CVE-2019-1019補(bǔ)丁來應(yīng)對這些問題。

即使執(zhí)行了這些修復(fù)，管理員還需要對某些配置加以更改，才能確保有效的防護(hù)。

保護(hù)策略

為了保護(hù)公司免受這些漏洞的攻擊，建議管理員進(jìn)行以下操作:

1.執(zhí)行修補(bǔ)程序：確保為工作站和服務(wù)器打上了所需的補(bǔ)丁，要注意，單獨(dú)的補(bǔ)丁是不夠的，公司還需要進(jìn)行配置更改，以便得到完全的保護(hù)。

2.配置更改：

2.1強(qiáng)制SMB簽名：為了防止攻擊者發(fā)起更簡單的NTLM RELAY攻擊，請務(wù)必在網(wǎng)絡(luò)中的所有計算機(jī)上啟用 SMB 簽名。

2.2禁用NTLMv1：該版本相當(dāng)不安全，建議通過適當(dāng)?shù)慕M策略來完全禁用。

2.3強(qiáng)制LDAP/S簽名：為了防止LDAP中的NTLM RELAY攻擊，在域控制器上強(qiáng)制LDAP簽名和LDAPS通道綁定。

2.4強(qiáng)制實(shí)施EPA：為了防止NTLM在web服務(wù)器上被黑客用來發(fā)動中繼攻擊，強(qiáng)制所有web服務(wù)器(OWA、ADFS)只接受EPA的請求。

3. 減少NTLM的使用：因?yàn)榧幢悴捎昧送暾陌踩渲茫琋TLM 也會比 Kerberos 帶來更大的安全隱患，建議在不必要的環(huán)境中徹底棄用。

Windows NTLM安全協(xié)議漏洞史

其實(shí)早在2017年7月，安全公司 Preempt 專家就發(fā)現(xiàn)了 NTLM 協(xié)議存在兩處關(guān)鍵漏洞，允許攻擊者創(chuàng)建新域名管理員帳戶、接管目標(biāo)域名。

調(diào)查顯示，第一處關(guān)鍵漏洞涉及 NTLM 中繼器內(nèi)未受保護(hù)的 Lightweight Directory Access Protocol（LDAP）協(xié)議；而第二處 NTLM 漏洞影響 RDP Restricted-Admin 模式，允許攻擊者在不提供密碼的情況下遠(yuǎn)程訪問目標(biāo)計算機(jī)系統(tǒng)。