SAN FRANCISCO, June 12, 2019 (GLOBE NEWSWIRE) -- Preempt, il principale provider di accesso condizionato per la prevenzione delle minacce in tempo reale, ha annunciato oggi che il suo team di ricerca ha individuato due vulnerabilità critiche derivanti da tre difetti logici in NTLM, il protocollo di autenticazione proprietario di Microsoft. Tali vulnerabilità consentono agli autori di attacchi di eseguire da remoto il codice dannoso su qualsiasi computer Windows e di accedere a qualsiasi server Web che impiega l'autenticazione integrata di Windows (WIA), come per esempio Exchange e ADFS. La ricerca ha dimostrato che tutte le versioni di Windows sono vulnerabili.
NTLM è suscettibile ad attacchi di tipo “relay”, in cui l’aggressore acquisisce un'autenticazione e la trasferisce a un altro server per garantirsi la possibilità di eseguire operazioni su tale macchina in virtù dei privilegi dell'utente autenticato sul server iniziale. Gli attacchi di tipo NTLM Relay sono molto comuni negli ambienti Active Directory, in cui l'aggressore compromette una macchina, poi si sposta lateralmente su altre macchine utilizzando l'autenticazione ottenuta sul server NTLM compromesso.
Già in passato Microsoft ha sviluppato diverse attenuazioni per prevenire attacchi di tipo NTLM Relay. Ora, i ricercatori di Preempt hanno scoperto che queste attenuazioni hanno i seguenti difetti che possono essere sfruttati dagli aggressori:
Per ulteriori dettagli sui rischi che derivano da questi difetti, visitare il blog di consulenza sulla sicurezza di Preempt qui.
"Anche se gli attacchi di tipo NTLM Relay si basano su una tecnica datata, le aziende non possono eliminare completamente l'uso del protocollo in quanto questo interrompe molte applicazioni. Di conseguenza, rappresenta ancora un rischio rilevante per le aziende, in particolare alla luce delle nuove vulnerabilità scoperte con frequenza", ha spiegato Roman Blachman, Chief Technology Officer e co-fondatore di Preempt. “Le aziende devono prima di tutto assicurarsi che tutti i loro sistemi Windows siano configurati in modo corretti e sicuro. Le organizzazioni possono anche proteggere ulteriormente i loro ambienti ottenendo visibilità NTLM di rete. Preempt collabora con i propri clienti per garantire che essi abbiano tale visibilità e la migliore protezione possibile”.
Per proteggersi da queste vulnerabilità le organizzazioni devono:
I clienti di Preempt dispongono già di protezioni contro le vulnerabilità NTLM. La piattaforma Preempt offre visibilità NTLM completa della rete, consentendo alle organizzazioni di ridurre il traffico NTLM e analizzare le attività NTLM sospette. Inoltre, Preempt dispone di innovative funzionalità di rilevamento degli attacchi di tipo NTLM Relay determinanti per il settore e ha la capacità di ispezionare tutte le configurazioni GPO per individuare le configurazioni non sicure. L’ispezione della configurazione è disponibile anche in Preempt Lite, una versione ridotta e gratuita della piattaforma Preempt. Le organizzazioni possono scaricare Preempt Lite qui per verificare quali aree della loro rete sono vulnerabili.
Queste vulnerabilità e molto altro saranno presentate dai ricercatori di Preempt, Yaron Zinar e Marina Simakov, a Black Hat USA 2019.
Dall’11 giugno 2019, Microsoft ha emesso CVE-2019-1040 e CVE-2019-1019 su Patch Tuesday in seguito alla divulgazione responsabile delle vulnerabilità NTLM da parte di Preempt.
Informazioni su Preempt
Preempt offre un approccio moderno all'autenticazione e alla protezione dell'identità in azienda. Utilizzando la tecnologia brevettata per l'accesso condizionale, Preempt aiuta le aziende a ottimizzare l'igiene delle identità e a bloccare gli attacchi in tempo reale, prima che abbiano un impatto sull'attività. Preempt rileva continuamente e anticipa le minacce in base all'identità, al comportamento e ai rischi in tutte le piattaforme di autenticazione e accesso basate nel cloud e in sede. Questo approccio a basso attrito consente ai team di sicurezza di avere maggiore visibilità e controllo sugli account e sugli accessi privilegiati, ottenendo allo stesso tempo conformità alle normative e l’abilità di risolvere automaticamente eventuali incidenti. Per saperne di più: www.preempt.com.
Per maggiori informazioni:
Angelique Faul
Angelique@silverjacket.net
513-633-0897