Em junho de 2019, a Microsoft lançou patches para duas vulnerabilidades críticas descobertas no seu conjunto de protocolos NT LAN Manager (NTLM) que afeta todas as versões. Essas vulnerabilidades permitem que os invasores executem códigos maliciosos em qualquer máquina Windows remotamente ou até se autentiquem em um servidor HTTP ou Exchange.
O NTLM é suscetível a ataques de retransmissão onde um invasor compromete uma máquina e se move lateralmente para outras máquinas usando a autenticação NTLM direcionada ao servidor comprometido. Um ataque bem-sucedido permite que o invasor essencialmente “roube” o logon de um usuário legítimo para autenticar sua própria sessão, obtendo acesso a dados críticos e recursos valiosos no AD.
As vulnerabilidades mais recentes são o resultado de três falhas associadas ao NTLM que permitem ao invasor ignorar os mecanismos de proteção existentes. A primeira falha reside na assinatura da sessão SMB, que permite que os invasores retransmitam solicitações de autenticação NTLM para qualquer servidor no domínio, incluindo controladores de domínio, enquanto estabelecem uma sessão assinada para executar a execução remota de código. Se a solicitação de retransmissão for realizada com uma conta privilegiada, isso poderá comprometer todo o domínio.
A segunda falha permite que os invasores removam a proteção do código de integridade da mensagem (MIC) e modifiquem vários campos no fluxo de autenticação NTLM, incluindo negociação de assinatura. A terceira falha permite que eles se conectem a vários servidores da Web usando os privilégios dos usuários atacados e realizem operações, como ler e-mails dos usuários ou conectar-se a recursos da nuvem, retransmitindo solicitações aos servidores OWA e ADFS, respectivamente.
As duas últimas vulnerabilidades do NTLM permitem que os invasores capturem uma tentativa de autenticação de um usuário legítimo e a retransmitam para outro servidor, garantindo a capacidade de executar operações em um servidor remoto usando os privilégios desse usuário.
As atenuações existentes da Microsoft não ajudam a proteger contra um ataque de retransmissão NTLM. Isso é significativo, especialmente no momento em que o revezamento NTLM está se tornando um dos métodos de ataque mais populares para criminosos cibernéticos que desejam explorar a infraestrutura do AD. Para lidar com o problema, a Microsoft lançou correções, juntamente com as seguintes diretrizes sobre como lidar com o problema:
- Verifique se as estações de trabalho e os servidores estão devidamente corrigidos.
- Defina as seguintes configurações:
- Impor assinatura SMB – Para impedir que invasores iniciem ataques de retransmissão NTLM mais simples, ative a assinatura SMB em todas as máquinas da rede.
- Bloquear NTLMv1 – Como o NTLMv1 é considerado significativamente menos seguro, é recomendável bloqueá-lo completamente, configurando o GPO apropriado.
- Impor assinatura LDAP / LDAPS – para impedir a retransmissão NTLM no LDAP, imponha a assinatura LDAP e a ligação de canal LDAPS nos controladores de domínio.
- Impor proteção avançada para autenticação (EPA) – Para impedir a retransmissão NTLM em servidores Web, proteja todos os servidores Web (OWA, ADFS) para aceitar solicitações somente com EPA.
- Reduza o uso do NTLM e remova o NTLM onde não for necessário.
Uma maneira de contornar essas preocupações é empregando a análise de comportamento do usuário (UBA), que pode ser utilizada para indicar quando as vulnerabilidades estão sendo ativamente exploradas. Ao detectar e analisar processos novos ou incomuns em servidores membros e acesso remoto pela primeira vez em hosts, o UBA ajuda a avaliar riscos em seu ambiente.
Prevenção através do ADAudit Plus
Detecte, investigue e atenue ameaças como logons maliciosos, movimentação lateral, abuso de privilégios, violações de dados e malware.
O ADAudit Plus é uma solução de auditoria em tempo real e de análise do comportamento do usuário (UBA) que ajuda a manter seu Active Directory, Azure AD, servidores membros e estações de trabalho seguros e compatíveis. Com a ferramenta, você pode:
- Logon do usuário
- Alertas e relatórios
- Alterações de atributos
- Auditoria de file server
- Arquivamento de dados
- Configurações de GPO e muito mais.
Clique no botão abaixo e inicie sua avaliação gratuita do ADAudit Plus por 30 dias!
ACS Pro Revendedor Autorizado ManageEngine e Zoho no Brasil.
Fone / WhatsApp (11) 2626-4653.
