fbpx

Наші представництва: 

Замовити зворотній дзвінок
btn

Виявлення та пом’якшення атак NTLM-ретрансляції, націлених на контролери домену Microsoft

Статті та огляди

Зловмисники часто експлуатують застарілі протоколи для проникнення у робоче середовище організації. Але, попри вже відомі вразливості таких протоколів, як Windows NTLM, вони досі широко використовуються у корпоративних мережах.


Одним із останніх серйозних варіацій атаки NTLM-ретрансляції є поєднання вразливості PetitPotam з ретрансляцією AD-CS, що за спостереженнями дослідницької групи CrowdStrike Identity Protection має високу популярність. Хоч останній патч оновлень системи безпеки Microsoft, випущений 10 травня 2022 року, містив виправлення для вищезгаданої вразливості, проблема повністю не зникає. Оновлення лише змінює вимоги: якщо раніше проведення злому було можливе без автентифікації, то тепер для запуску атаки необхідні дані будь-якого облікового запису Active Directory.


Пропонуємо детально ознайомитися з виправленнями, з’ясувати які проблеми залишилися невирішеними та дізнатися про вдосконалення наявного у Falcon Identity Protection засобу виявлення ретрансляції NTLM, який здатен розпізнати експлуатацію вразливості PetitPotam та подібних методів примусової автентифікації.


PetitPotam і NTLM ретрансляція


Ретрансляція NTLM завжди була популярною технікою атаки. У минулому найбільшою проблемою було переконати власника облікового запису пройти автентифікацію на керованій зловмисником машині. Але тепер, як виявилося,більшої популярності набувають механізми примусової автентифікації кінцевої точки.

Найпопулярнішими цілями, зі зрозумілих причин, є контролери домену, оскільки їхні високі привілеї роблять їх вигідною мішенню для атак на ретрансляцію автентифікації. Перший варіант примусової автентифікації включав службу Print Spooler, тоді як оновлений механізм такої атаки покладається на MS-EFSRPC протокол (пізніше відомий як вразливість PetitPotam). У поєднанні з незахищеною за замовчуванням конфігурацією Active Directory Certificate Services (AD-CS), яка не підтримує розширений захист автентифікації (EPA), це може бути дуже небезпечно, оскільки може призвести до цілковитої компрометації домену за всього кілька кроків. Зловмисник може запустити автентифікацію контролера домену, скориставшись вразливістю PetitPotam і передавши її на сервер AD-CS для запиту сертифіката для облікового запису контролера домену. Використовуючи цей сертифікат, зловмисник потім може отримати TGT для ретрансльованого облікового запису контролера домену та виконувати будь-які подальші операції, використовуючи його високі привілеї (наприклад, скидання хешів адміністратора домену).

Однією з найсерйозніших проблем уразливості PetitPotam до останніх оновлень системи безпеки від Microsoft було те, що зловмисник міг запустити атаку без автентифікації, тобто потрібен був лише мережевий доступ до контролера домену. Патч оновлень лише частково усуває проблему, тобто атака все ще можлива.


Виправлення та проблеми, що залишилися


Оновлення безпеки Microsoft, випущене у вівторок, 10 травня 2022 року, включало часткове виправлення вразливості PetitPotam. Однак це оновлення також спричинило помилки автентифікації для декількох служб Windows, таких як Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) і Protected Extensible Authentication Protocol (PEAP). За словами Microsoft, «було виявлено проблему, пов’язану з тим, як контролер домену обробляє співвідношення сертифікатів з обліковими записами комп’ютера».

У якості обхідного шляху корпорація Майкрософт рекомендує вручну зіставляти сертифікати з обліковими записами Active Directory або слідувати за KB5014754 для інших можливих пом’якшень. Через проблеми, спричинені цим патчем, CISA застерегла від розгортання його на контролерах домену, що залишило багато організацій відкритими для атаки примусової автентифікації PetitPotam. 19 травня 2022 року було випущене додаткове оновлення для усунення збоїв автентифікації, спричинених останніми оновленнями безпеки.

Важливо зауважити, що в оновленні зазначено: «Це оновлення системи безпеки виявляє спроби анонімного підключення в LSARPC та забороняє їх», що залишає запитання: чи все ще працює примусова атака з використанням автентифікованого користувача?


Після деяких тестів, схоже, що відповідь позитивна!


Хоча вразливість PetitPotam після виправлення більше не працюватиме без автентифікації, нею все одно можна скористатися. Наприклад, використовуючи будь-які облікові дані облікового запису Active Directory для запуску NTLM-автентифікації контролера домену можна підвищити привілеї до адміністратора домену, якщо не дотримуватися необхідних параметрів безпеки (як зазначено вище, EPA не застосовується за замовчуванням на серверах AD-CS).


Крім того, PetitPotam не найновіший метод примусової автентифікації; було випущено інструмент атаки DFSCoerce, який зловживає протоколом MS-DFSNM для запуску автентифікації контролера домену.


Покращення захисту CrowdStrike Identity Protection NTLM Relay Detection


Оскільки авторизований користувач усе ще може ініціювати NTLM-автентифікацію з контролера домену, вектор атаки ретрансляції NTLM залишається актуальним для облікових записів контролера домену. Ось чому можливість виявлення ретрансляції NTLM у CrowdStrike Falcon Identity Threat Protection була розширена для виявлення спроб виконання ретрансляції NTLM за допомогою облікових даних контролера домену. Перевага цього виявлення полягає в тому, що воно не прив’язане до жодного окремого методу примусової автентифікації, але виявляє ретрансляційну атаку незалежно від того, ініційована вона вразливістю PetitPotam, інструментом DFSCoerce чи будь-яким виявленим у майбутньому механізмом примусу.

Додаткові пом'якшувальні заходи


Хоча виправлення є важливим кроком для протистояння останнім уразливостям ретрансляції NTLM, цього недостатньо, оскільки багато незахищених типових параметрів залишать ваш домен уразливим. Ми рекомендуємо виконати такі кроки:

  1. Забезпечуйте дотримання SMB/LDAP і Extended Protection for Authentication (EPA) для всіх відповідних серверів, особливо для серверів AD-CS, які є загальною ціллю цієї атаки.
  2. Відстежуйте будь-які невдалі/успішні спроби ретрансляції NTLM у вашій доменній мережі. Використовуючи розширені можливості виявлення CrowdStrike Falcon Identity Threat Protection, клієнти тепер можуть отримувати сповіщення про атаки NTLM-ретрансляції, які використовують облікові записи контролера домену.
  3. Вимкніть NTLM. Оскільки це потенційно небезпечна зміна, яка потребує багато часу для більшості робочих середовищ, почніть з вимкнення підтримки NTLM на серверах, які можуть стати ціллю атаки ретрансляції та недостатньо захищені. Наприклад, якщо з будь-якої причини ви не можете застосувати EPA на серверах AD-CS, вимкніть вхідний NTLM на цьому сервері, щоб захистити його від релейних атак NTLM.

Надійне рішення для захисту кінцевих пристроїв та облікових даних забезпечить ваш спокій і впевненість у захищеності цінної корпоративної інформації. Якщо вам потрібна допомога у підборі та впровадженні ефективного рішення кібербезпеки, досвідчені експерти iIT Distribution допоможуть з цим питанням. iIT Distribution – це офіційний дистриб’ютор рішень компанії CrowdStrike на територіях України, Казахстану, Грузії та Узбекистану.

Назад

Mobile Marketing
+