近日Preempt研究小組發現了兩個關鍵的微軟漏洞，這兩個漏洞都和三個NTLM中的邏輯漏洞有關，這些漏洞允許攻擊者在任何Windows計算機上遠程執行惡意代碼，或對支持Windows集成身份驗證(WIA)的任何web服務器(如Exchange或ADFS)進行身份驗證。根據測試，目前所有 Windows 版本都會受到這兩個漏洞的影響。更糟糕的是，這兩個漏洞可繞過微軟此前已部署的所有安全保護措施。

在允許的環境下，Kerberos是首選的認證方式。在這之前，Windows主要采用另一種認證協議——NTLM（NT Lan Manager）。NTLM使用在Windows NT和Windows 2000 Server（or later）工作組環境中（Kerberos用在域模式下）。在AD域環境中，如果需要認證Windows NT系統，也必須采用NTLM。較之Kerberos，基于NTLM的認證過程要簡單很多。NTLM采用一種質詢/應答（Challenge/Response）消息交換模式，下圖反映了Windows2000下整個NTLM認證流程。

[[268069]]

微軟NTLM協議曝出巨大漏洞，現有安全保護措施也無用！

NTLM容易受到中繼攻擊，這允許攻擊者捕獲身份驗證并將其轉發到另一臺服務器，從而使他們能夠冒用經過身份驗證的用戶的特權在遠程服務器上執行所有的操作。

NTLM Relay是Active Directory環境中最常見的攻擊技術之一，在Active Directory環境中，攻擊者先會攻擊一臺計算機，然后通過使用針對受感染服務器的NTLM身份驗證向其他計算機擴展。

微軟之前已經開發了幾個緩解NTLM RELAY攻擊的方法，但是研究人員發現這些方法都存在著以下缺陷:

1.基于消息完整性代碼(MIC)字段確保攻擊者不會篡改NTLM消息的措施：Preempt研究人員發現，只要繞過消息完整性代碼(MIC)字段，攻擊者就可以刪除“MIC”保護并修改NTLM身份驗證流中的各個字段，比如簽名協商。

2.基于SMB會話簽名防止攻擊者發送NTLM身份驗證消息來建立SMB和DCE/RPC會話的措施，Preempt研究人員發現，許攻擊只要繞過SMB會話簽名，就可以將NTLM身份驗證請求轉發到域中的任何服務器，包括域控制器，同時偽造一個簽名會話來執行遠程代碼執行。如果轉發的身份驗證屬于特權用戶，則意味著整個域都能被攻擊。

3.基于增強的身份驗證保護(EPA)防止攻擊者將NTLM消息轉發到TLS會話的措施，Preempt研究人員發現，攻擊者只要繞過身份驗證保護(EPA)，就可以修改NTLM消息來生成合法的通道綁定信息。這允許攻擊者使用被攻擊用戶的特權連接到各種web服務器，并執行以下操作：通過中繼到OWA服務器，讀取用戶的電子郵件；甚至通過中繼到ADFS服務器，連接到云資源。

Preempt首席技術官Roman Blachman表示：

即使NTLM Relay是一項古老的技術，企業也無法徹底放棄對NTLM協議的使用，因為它會破壞許多應用程序。因此，它仍然給企業帶來了巨大的風險，尤其是在不斷發現新的漏洞的情況下，公司需要首先確保所有Windows系統都經過修補和安全配置。此外，公司可以通過獲得網絡NTLM可見性來進一步保護其環境。

在Preempt向微軟公司披露了上述漏洞后，微軟在6月11日的時候發布了CVE-2019-1040和CVE-2019-1019補丁來應對這些問題。

即使執行了這些修復，管理員還需要對某些配置加以更改，才能確保有效的防護。

保護策略

為了保護公司免受這些漏洞的攻擊，建議管理員進行以下操作:

1.執行修補程序：確保為工作站和服務器打上了所需的補丁，要注意，單獨的補丁是不夠的，公司還需要進行配置更改，以便得到完全的保護。

2.配置更改：

2.1強制SMB簽名：為了防止攻擊者發起更簡單的NTLM RELAY攻擊，請務必在網絡中的所有計算機上啟用 SMB 簽名。

2.2禁用NTLMv1：該版本相當不安全，建議通過適當的組策略來完全禁用。

2.3強制LDAP/S簽名：為了防止LDAP中的NTLM RELAY攻擊，在域控制器上強制LDAP簽名和LDAPS通道綁定。

2.4強制實施EPA：為了防止NTLM在web服務器上被黑客用來發動中繼攻擊，強制所有web服務器(OWA、ADFS)只接受EPA的請求。

3. 減少NTLM的使用：因為即便采用了完整的安全配置，NTLM 也會比 Kerberos 帶來更大的安全隱患，建議在不必要的環境中徹底棄用。

Windows NTLM安全協議漏洞史

其實早在2017年7月，安全公司 Preempt 專家就發現了 NTLM 協議存在兩處關鍵漏洞，允許攻擊者創建新域名管理員帳戶、接管目標域名。

調查顯示，第一處關鍵漏洞涉及 NTLM 中繼器內未受保護的 Lightweight Directory Access Protocol（LDAP）協議；而第二處 NTLM 漏洞影響 RDP Restricted-Admin 模式，允許攻擊者在不提供密碼的情況下遠程訪問目標計算機系統。