Microsoft wprowadził nowe środki bezpieczeństwa mające na celu zapobieganie atakom przekazywania NTLM. Te mechanizmy ochronne obejmują dodatkowe zabezpieczenia, aby zmniejszyć ryzyko wykorzystania protokołu NTLM w atakach, które przechwytują i przekazują uwierzytelnianie użytkownika w celu uzyskania dostępu do systemów. Te aktualizacje są częścią ciągłych wysiłków firmy Microsoft na rzecz poprawy bezpieczeństwa sieci i eliminowania luk w tradycyjnych metodach uwierzytelniania.
Zrozumienie luk w NTLM i ataków przekazywania
NTLM (New Technology LAN Manager) to zestaw protokołów opracowanych przez firmę Microsoft do uwierzytelniania użytkowników i komputerów za pomocą mechanizmu wyzwanie-odpowiedź. W tym procesie klient odpowiada na wyzwanie serwera, co weryfikuje tożsamość użytkownika lub komputera.
Odpowiedź klienta zawiera skrót hasła użytkownika, używany jako klucz szyfrujący. Ten skrót, reprezentujący dane uwierzytelniające użytkownika, może zostać wykorzystany przez atakujących.
Od czasu przyjęcia Kerberosa jako domyślnego mechanizmu uwierzytelniania w systemie Windows w 2000 roku, Microsoft dąży do wycofania NTLM, uważanego za mniej bezpieczny i przestarzały. Jednak NTLM pozostaje szeroko stosowany w organizacjach na całym świecie, pozostawiając systemy podatne na ataki przekazywania NTLM. Ataki te pozwalają cyberprzestępcom na przesyłanie skrótu NTLM bez jego deszyfrowania lub wyodrębniania hasła użytkownika, co stanowi poważne zagrożenie bezpieczeństwa.
Przykład ataku przekazywania NTLM: Wykorzystanie luk NTLM w dokumentach Office i wiadomościach e-mail
Dokumenty Office i wiadomości e-mail wysyłane za pośrednictwem programu Outlook mogą stać się punktami wejścia dla atakujących wykorzystujących luki w wymuszaniu NTLM. Atakujący osadzają złośliwe linki UNC (Universal Naming Convention) w dokumentach lub wiadomościach, przekierowując systemy ofiar na złośliwy serwer w celu przeprowadzenia ataków przekazywania NTLM.
Gdy ofiara otworzy taki dokument lub wiadomość e-mail, złośliwy link UNC wyzwala uwierzytelnianie NTLM, które atakujący mogą przechwycić. Wykorzystując skrót NTLM, cyberprzestępcy mogą przeprowadzić atak przekazywania, uzyskując dostęp do zasobów sieciowych bez znajomości hasła użytkownika.
Ostatnie luki w NTLM, takie jak CVE-2024-21413, CVE-2023-23397 i CVE-2023-36563, pokazały, jak atakujący mogą wykorzystać te techniki do kompromitacji systemów ofiar, jeśli nie zostaną wdrożone odpowiednie poprawki bezpieczeństwa. Microsoft ostrzega, że ataki te mogą być bardzo skuteczne, zwłaszcza w przypadku organizacji, które nie posiadają odpowiednich zabezpieczeń przed tym wektorem ataku, szczególnie w oprogramowaniu biurowym i pocztowym.
Dążenie Microsoftu do zwiększenia bezpieczeństwa: EPA domyślnie włączone w Windows Server 2025
Pomimo inherentnych zagrożeń związanych z NTLM, są dobre wieści. Na początku tego miesiąca Microsoft osiągnął kamień milowy wraz z wydaniem Windows Server 2025, w którym domyślnie włączono rozszerzoną ochronę uwierzytelniania (EPA) i wiązanie kanału LDAP.
EPA to zaawansowana funkcja bezpieczeństwa zaprojektowana w celu łagodzenia ataków typu man-in-the-middle (MitM) oraz innych form przechwytywania i manipulowania danymi uwierzytelniającymi w protokołach takich jak NTLM. W Windows Server 2025 EPA jest domyślnie włączone, zapewniając kompatybilność ze starszymi klientami Windows. Dla organizacji, które nie wymagają obsługi starszych klientów, dostępna jest bardziej rygorystyczna opcja „Zawsze włączone”, a dalsze ulepszenia są planowane w przyszłych wersjach.
Administratorzy Windows Server 2022 i 2019 mogą ręcznie włączyć EPA i wiązanie kanału LDAP, a Microsoft dodał również obsługę audytu LDAP w celu identyfikacji niezgodnych komputerów i ułatwienia migracji do zaktualizowanych konfiguracji. Na początku tego roku Microsoft uczynił EPA domyślnym ustawieniem dla nowych i istniejących instalacji Exchange Server 2019, podczas gdy w Exchange Server 2016 pozostaje to opcjonalna funkcja, włączana za pomocą skryptu.
Aby włączyć EPA w systemach Windows, należy skonfigurować odpowiednie wartości rejestru.
Podsumowanie
Chociaż NTLM pozostaje protokołem podatnym na ataki, Microsoft nadal reaguje na pojawiające się zagrożenia, wdrażając funkcje takie jak EPA, co stanowi znaczący krok w kierunku poprawy bezpieczeństwa w nowoczesnych infrastrukturach IT. Zachęca się organizacje do przestrzegania zaleceń Microsoftu dotyczących łagodzenia ataków przekazywania NTLM, takich jak wyłączanie NTLM na kontrolerach domeny, włączanie rozszerzonej ochrony uwierzytelniania i podpisywania (np. podpisywanie SMB) oraz eliminowanie luk, takich jak PetitPotam, poprzez wyłączanie usług sieciowych na serwerach Active Directory Certificate Services.
Organizacje dążące do zwiększenia bezpieczeństwa Active Directory zachęcamy do kontaktu z nami w celu uzyskania wskazówek i wsparcia.
