【51CTO.com快譯】微軟的NTLM(NT LAN Manager)是一種較舊且現已過時的安全協議，用于對Windows域中的用戶登錄信息進行身份驗證。雖然微軟早已將NTLM換成Kerberos、作為Active Directory的默認驗證方法，但該公司仍然支持這種舊協議，同時建議客戶改而采用Kerberos。

[[267921]]

眾所周知，即使一種技術或協議陳舊、過時或不再被推薦，這并不意味著企業組織不再使用它。問題是，NTLM一直受到安全漏洞的困擾。在周二發布的一份報告中，安全提供商Preempt描述了最新的漏洞，并就如何保護網絡遠離這些漏洞給出了忠告。

Preempt在報告中表示，它最近基于NTLM中的三個邏輯漏洞發現了兩個關鍵的微軟漏洞。這些漏洞可能讓攻擊者可以在任何Windows計算機上遠程執行惡意代碼，或者通過身份驗證，連接到支持Windows Integrated Authentication(WIA)的任何Web服務器，比如Exchange或ADFS。Preempt的研究表明，所有版本的Windows都容易受到這些漏洞的影響。

報告特別指出，NTLM的一大缺陷是它容易受到轉發攻擊(relay attack)，這個過程讓攻擊者可以在一臺服務器上獲取身份驗證，然后將其轉發到另一臺服務器，從而讓他們可以使用那些同樣的登錄信息來控制遠程服務器。

微軟已開發了幾個修復程序來防止NTLM轉發攻擊，但攻擊者可以通過以下三個邏輯漏洞找到繞過它們的方法：

• 消息完整性代碼(MIC)字段試圖防止攻擊者篡改NTLM消息。然而Preempt的研究人員發現，攻擊者可以刪除MIC保護機制，并更改NTLM驗證使用的某些字段。
• SMB會話簽名可防止攻擊者轉發NTLM身份驗證消息，以此建立SMB會話和DCE/RPC會話。但Preempt發現攻擊者可以將NTLM身份驗證請求轉發到域中的任何一臺服務器(包括域控制器)，并創建簽名會話以便在遠程計算機上執行代碼。如果轉發的身份驗證含有特權用戶的登錄信息，整個域可能岌岌可危。
• 增強的身份驗證保護(EPA)可防止攻擊者將NTLM消息轉發到TLS會話。但是Preempt發現攻擊者可以篡改NTLM消息，以生成合法的通道綁定信息。然后這類攻擊者可以使用用戶的登錄信息，連接到域中的Web服務器，從而得以通過轉發到Outlook Web Access服務器或通過轉發到(ADFS)Active Directory Federation Services服務器以連接到云資源，讀取用戶的電子郵件。

周二微軟將發布兩個補丁，試圖堵住NTLM中這些最新的安全漏洞。除了敦促企業組織給高危系統打上這些新的補丁外，Preempt還給出了其他建議。

補丁

確保給所有工作站和服務器打上了微軟的最新補丁。尋找微軟在6月11日星期二的CVE-2019-1040和CVE-2019-1019補丁。據Preempt聲稱，光打補丁本身并不夠，它還建議在配置方面進行幾處調整。

配置

• 實施SMB簽名機制。想防止攻擊者發起較簡單的NTLM轉發攻擊，請在所有聯網計算機上啟用SMB簽名機制。
• 阻止NTLMv1。由于NTLMv1被認為不安全，Preempt建議企業組織通過適當的組策略設置完全阻止它。
• 實施LDAP/S簽名機制。想防止LDAP中的NTLM轉發，請對域控制器實施LDAP簽名和LDAPS通道綁定機制。
• 實施EPA。想防止Web服務器上的NTLM轉發，請加固所有Web服務器(OWA和ADFS)，只接受采用EPA的請求。

Preempt的首席技術官兼聯合創始人Roman Blachman在一份新聞稿中說：“盡管NTLM 轉發攻擊是一種老套的手法，企業卻無法徹底消除使用這種協議，因為這會破壞許多應用程序。因此它仍給企業帶來了巨大的風險，尤其是在新漏洞不斷被發現的情況下。公司需要先確保所有Windows系統都已打上補丁、安全配置。此外，企業組織可以通過了解網絡NTLM的情況，進一步保護環境。”

原文標題：How to protect your network against security flaws in Microsoft's NTLM protocol，作者：Lance Whitney

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】