NTLM (NT LAN Manager) de Microsoft es un protocolo de seguridad más antiguo, ahora obsoleto, que autentica las credenciales de los usuarios en un dominio de Windows. Si bien Microsoft reemplazó hace mucho tiempo NTLM con Kerberos como el método de autenticación predeterminado para Active Directory, la empresa aún admite el protocolo anterior y recomienda a los clientes que adopten Kerberos en su lugar.

Como todos sabemos, incluso si una tecnología o protocolo es antiguo, obsoleto o ya no se recomienda, no significa que las organizaciones ya no lo utilicen. El problema es que NTLM está continuamente plagado de vulnerabilidades de seguridad. En un informe publicado el martes, el proveedor de seguridad Preempt describe las últimas vulnerabilidades y ofrece consejos sobre cómo proteger su red contra ellas.

En su informe, Preempt dijo que recientemente descubrió dos vulnerabilidades críticas de Microsoft basadas en tres fallas lógicas en NTLM. Las vulnerabilidades podrían permitir a los atacantes ejecutar de forma remota código malicioso en cualquier máquina con Windows o autenticarse en cualquier servidor web que admita la autenticación integrada de Windows (WIA), como Exchange o ADFS. La investigación de Preempt indica que todas las versiones de Windows son susceptibles a estas fallas.

Una de las principales trampas de NTLM es que está abierto a ataques de retransmisión, señala el informe, un proceso que permite a los atacantes capturar la autenticación en un servidor y luego retransmitirla a otro servidor, lo que les abre la puerta para controlar el servidor remoto. utilizando esas mismas credenciales. .

Microsoft ha desarrollado varios parches para evitar ataques de retransmisión NTLM, pero los atacantes pueden encontrar formas de eludirlos a través de los siguientes tres defectos lógicos:

  • El campo Código de integridad del mensaje (MIC) intenta evitar que los atacantes manipulen los mensajes NTLM. Sin embargo, los investigadores de Preempt descubrieron que los atacantes pueden eliminar la protección MIC y modificar algunos campos utilizados por la autenticación NTLM.
  • La firma de sesiones SMB evita que los atacantes transmitan mensajes de autenticación NTLM como medio para establecer sesiones SMB y DCE/RPC. Pero Preempt descubrió que los atacantes pueden transmitir solicitudes de autenticación NTLM a cualquier servidor en un dominio, incluidos los controladores de dominio, y crear una sesión firmada para ejecutar código en una máquina remota. Si la autenticación retransmitida contiene las credenciales de un usuario privilegiado, todo el dominio puede estar en riesgo.
  • La protección de autenticación mejorada (EPA) evita que los atacantes transmitan mensajes NTLM a sesiones TLS. Pero Preempt descubrió que los atacantes podían modificar los mensajes NTLM para generar información de vinculación de canales legítima. Estos atacantes podrían luego conectarse a los servidores web en el dominio utilizando las credenciales de un usuario, lo que les permite leer los correos electrónicos del usuario retransmitiéndolos a un servidor de Outlook Web Access o conectarse a los recursos de la nube retransmitiéndolos a un servidor de Servicios de federación de Active Directory (ADFS). . .

El martes, Microsoft lanzará dos parches en un intento de cerrar estas últimas fallas de seguridad en NTLM. Más allá de instar a las organizaciones a parchear los sistemas vulnerables con estas nuevas actualizaciones, Preempt ofrece otros consejos.

Índice
  • Parche
  • Configuración
  • Parche

    Asegúrese de que todas las estaciones de trabajo y los servidores estén parcheados correctamente con las últimas actualizaciones de Microsoft. Busque CVE-2019-1040 y CVE-2019-1019 de Microsoft en el parche del martes 11 de junio. Pero el parche en sí no es suficiente, según Preempt, que también recomienda varios ajustes de configuración.

    Configuración

    • Aplicar firma SMB. Para evitar que los atacantes lancen ataques de retransmisión NTLM más simples, habilite la firma SMB en todas las máquinas en red.
    • Bloquear NTLMv1. Dado que NTLMv1 se considera inseguro, Preempt aconseja a las organizaciones que lo bloqueen por completo a través de la configuración de directiva de grupo adecuada.
    • Aplicar firma LDAP/S. Para evitar la retransmisión NTLM en LDAP, aplique la firma LDAP y el enlace de canal LDAPS en los controladores de dominio.
    • Aplicar el APE. Para evitar la retransmisión NTLM en los servidores web, refuerce todos los servidores web (OWA, ADFS) para aceptar solo solicitudes con EPA.

    “Aunque la retransmisión NTLM es una técnica antigua, las empresas no pueden eliminar por completo el uso del protocolo porque rompería muchas aplicaciones. Por lo tanto, todavía representa un riesgo significativo para las empresas, especialmente con las nuevas vulnerabilidades que se descubren todo el tiempo”, dijo Roman Blachman, CTO y cofundador de Preempt, en un comunicado de prensa. “Las empresas primero deben asegurarse de que todos sus sistemas Windows estén parcheados y configurados de forma segura. Además, las organizaciones pueden proteger mejor sus entornos al obtener visibilidad de la red NTLM.

    Imagen: iStockphoto/sarayut