Onderzoekers van Preempt vinden twee kritieke kwetsbaarheden in Microsoft NTLM, waardoor cybercriminelen kwaadaardige code kunnen plaatsen op elk toestel met Windows

Drie fouten in het authenticatieprotocol van Microsoft stellen hackers in staat om alle NTLM-beschermingsmechanismen te omzeilen


SAN FRANCISCO, June 12, 2019 (GLOBE NEWSWIRE) -- Preempt, leider op het gebied van voorwaardelijke toegang voor realtime bescherming tegen bedreigingen, kondigde vandaag aan dat zijn onderzoeksteam twee kritieke kwetsbaarheden heeft gevonden in Windows: het gaat meer bepaald om drie logische fouten in NTLM, het authenticatieprotocol van Microsoft. Deze zwakke plekken stellen hackers in staat om kwaadaardige code te plaatsen op elk toestel met Windows of zich te authenticeren bij elke webserver die Windows Integrated Authentication (WIA) ondersteunt, zoals Exchange of ADFS. Uit het onderzoek blijkt dat alle versies van Windows kwetsbaar zijn.

NTLM is vatbaar voor relay-aanvallen. Dat betekent dat hackers een authenticatie kunnen kopiëren en relayeren naar een andere server, waardoor ze handelingen kunnen uitvoeren op de externe server door de privileges van de geauthenticeerde gebruiker te gebruiken. NTLM-relayering is een van meest gebruikte aanvalstechnieken in Active Directory-omgevingen, waarbij de aanvaller één machine overneemt en vervolgens lateraal naar andere machines overstapt door NTLM-authenticatie te gebruiken op de overgenomen server.

Microsoft heeft eerder al verschillende maatregelen ontwikkeld om NTLM relay-aanvallen te voorkomen. De onderzoekers van Preempt ontdekten dat deze maatregelen de volgende fouten bevatten die kunnen worden misbruikt door hackers:

  • Het Message Integrity Code-veld (MIC) zorgt ervoor dat hackers niet knoeien met NTLM-boodschappen. De omzeiling die werd ontdekt door de onderzoekers van Preempt stelt hackers in staat om de ‘MIC’-beveiliging uit te schakelen en verschillende velden in de NTLM-authenticatieflow, zoals ondertekeningsonderhandeling, aan te passen.
  • SMB-ondertekening belet hackers NTLM-authenticatieboodschappen te relayeren om SMB- en DCE/RPC-sessies te starten. De omzeiling die werd ontdekt door de onderzoekers van Preempt stelt hackers in staat om NTLM-authenticatieverzoeken te relayeren naar een andere server in het domein, inclusief domeincontrollers, en een ondertekende sessie te starten om op afstand code te plaatsen. Als de doorgestuurde authenticatie van een bevoorrecht gebruiker is, is het hele domein gecompromitteerd.
  • Enhanced Protection for Authentication (EPA) belet hackers NTLM-boodschappen door te sturen naar TLS-sessies. De omzeiling die werd ontdekt door de onderzoekers van Preempt stelt hackers in staat om NTLM-boodschappen te wijzigen en legitieme kanaalbindingsinformatie te genereren. Hierdoor kunnen hackers verbinding maken met verschillende webservers via de privileges van de aangevallen gebruiker en onder meer de e-mails van de gebruiker lezen (door te relayeren naar OWA-servers) of verbinding maken met cloudplatformen (door te relayeren naar ADFS-servers).

Bezoek de veiligheidsadviesblog van Preempt voor meer informatie over de gerapporteerde risico's van deze fouten.

“Hoewel NTLM-relayering een oude techniek is, kunnen bedrijven het gebruik van het protocol niet volledig afschaffen, aangezien hierdoor veel toepassingen niet meer zouden werken. Dit vormt dus nog steeds een groot risico voor bedrijven, met name omdat er voortdurend nieuwe kwetsbaarheden worden ontdekt”, zegt Roman Blachman, Chief Technology Officer en medeoprichter van Preempt. “Bedrijven moeten er eerst en vooral voor zorgen dat hun Windowssystemen gepatcht en veilig geconfigureerd zijn. Daarnaast kunnen organisaties hun informatica-omgeving verder beschermen door NTLM-zichtbaarheid voor hun netwerk te verwerven. Preempt werkt samen met zijn klanten om ervoor te zorgen dat zij over deze zichtbaarheid en de best mogelijke bescherming beschikken.”

Organisaties kunnen zich beschermen tegen deze kwetsbaarheden door:

  1. Patches - Zorg ervoor dat werkstations en servers over de laatste patches beschikken. Het is wel belangrijk om op te merken dat patches alleen niet volstaan: bedrijven moeten ook de nodige wijzigingen in hun configuratie doorvoeren om volledig beschermd te zijn.
  2. Configuratie:
    1. Gebruik SMB-ondertekening - Schakel SMB-ondertekening in op alle machines in het netwerk om hackers te beletten simpelere NTLM relay-aanvallen uit te voeren.
    2. Blokkeer NTLMv1 - Aangezien NTLMv1 als aanzienlijk minder veilig wordt beschouwd, wordt aangeraden dit volledig te blokkeren door de geschikte GPO in te stellen.
    3. Gebruik LDAP/S-ondertekening - Schakel LDAP-ondertekening en LDAPS -kanaalbinding op domeincontrollers in om NTLM-relayering in LDAP te voorkomen.
    4. Gebruik EPA - Zorg ervoor dat alle webservers (OWA, ADFS) alleen verzoeken met EPA aanvaarden om NTLM-relayering op webservers te voorkomen.
  3. Verlaag het NTLM-gebruik – NTLM vormt een groter risico dan Kerberos, zelfs met een volledig beveiligde configuratie en gepatchte servers. Er wordt aangeraden dat u NTLM verwijdert waar het niet nodig is.

De klanten van Preempt zijn al beschermd tegen NTLM-kwetsbaarheden. Het Preempt Platform biedt volledige NTLM-zichtbaarheid voor netwerken, waardoor organisaties NTLM-verkeer kunnen verminderen en verdachte NTLM-activiteit kunnen analyseren. Daarnaast beschikt Preempt als enige over een innovatief deterministisch NTLM-relayeringsdetectievermogen en kan het alle GPO-configuraties inspecteren en onveilige configuraties melden. Deze configuratie-inspectie is ook beschikbaar in Preempt Lite, een gratis versie van het Preempt Platform met minder functies. Organisaties kunnen Preempt Lite hier downloaden en controleren welke delen van hun netwerk kwetsbaar zijn.

Deze kwetsbaarheden en meer zullen worden gepresenteerd door de Preempt-onderzoekers Yaron Zinar en Marina Simakov op Black Hat USA 2019.

Op Patchdinsdag 11 juni 2019 heeft Microsoft CVE-2019-1040 en CVE-2019-1019 uitgebracht, na Preempts bevindingen over de NTLM-kwetsbaarheden.

Over Preempt 
Preempt biedt een moderne benadering voor authenticatie en identiteitsbeveiliging in bedrijven. Via gepatenteerde technologie voor voorwaardelijke toegang helpt Preempt bedrijven identiteitsbeveiliging te optimaliseren en aanvallen in realtime af te weren voordat ze invloed hebben op de activiteiten. Preempt identificeert en elimineert preventief bedreigingen met betrekking tot identiteit, gedrag en risico in alle cloud- en lokale platformen voor authenticatie en toegang. Hierdoor krijgen beveiligingsteams meer zicht op en controle over accounts en bevoorrechte toegang, en bereiken ze meer compliance en verhelpen ze automatisch incidenten. Kom meer te weten op www.preempt.com.

Meer informatie:
Angelique Faul
Angelique@silverjacket.net
513-633-0897