Badacze z Varonis Threat Labs ujawnili trzy metody pozwalające atakującym wykraść skróty NTLM v2 i wykorzystać je do ataków brute-force lub podstawienia autoryzacji offline. Należy zaznaczyć, że podatność CVE-2023-35636 została naprawiona, ale dwie pozostałe uznawane są przez Microsoft za o „umiarkowanym” stopniu ryzyka i nie doczekały się jeszcze łatki.
Jak atakujący mogą wykorzystać skradzione skróty NTLM v2?
Protokół kryptograficzny NTLM v2, najnowsza wersja protokołu NTLM, jest używany przez system Microsoft Windows do uwierzytelniania użytkowników na zdalnych serwerach za pomocą skrótów haseł.
Skradzione skróty NTLM v2 mogą zostać wykorzystane do ataków podstawienia autoryzacji lub ataków brute-force (offline, na komputerze atakującego) w celu odszyfrowania skrótu hasła.
W obu przypadkach, groźny podmiot może uwierzytelniać się jako użytkownik i uzyskać dostęp do poufnych zasobów i systemów przedsiębiorstwa.
Dolev Taler wyjaśnił: „W atakach polegających na podstawieniu autoryzacji, żądania uwierzytelniania NTLM v2 przez użytkownika są przechwytywane i przekierowywane do innego serwera. Komputer ofiary wysyła wtedy odpowiedź z uwierzytelnieniem do serwera atakującego, a ten może wykorzystać tę informację do uwierzytelnienia się na zamierzonym serwerze ofiary”.
Trzy sposoby na zdobycie skrótów NTLM v2
Badacze z Varonis odkryli, że skróty NTLM v2 można wykradać poprzez:
1. Wykorzystanie podatności w programie Microsoft Outlook
2. Używanie obsługi URI (tj. menedżerów protokołów) i WPA (Windows Performance Analyzer, narzędzia używanego przez programistów oprogramowania)
3. Korzystanie z programu Eksplorator plików systemu Windows
Zbadali przypadki tych trzech scenariuszy ataków i zauważyli, że w każdym z nich ofiara musi tylko raz lub dwa razy kliknąć w link lub przycisk.
Szczególnie łatwo jest wykorzystać podatność w programie Outlook, korzystając z funkcji udostępniania kalendarzy między użytkownikami.
„Atakujący tworzy zaproszenie e-mailowe do ofiary, wskazujące ścieżkę pliku „.ICS” prowadzącą do komputera kontrolowanego przez atakującego. Nasłuchując na samokontrolowaną ścieżkę (domena, IP, ścieżka folderu, UNC itp.), groźny podmiot może uzyskać pakiety próbujące połączyć się z tym zasobem”, wyjaśnia Taler.
„Jeśli ofiara kliknie przycisk „Otwórz to iCal” w wiadomości, jej komputer spróbuje pobrać plik konfiguracyjny z komputera atakującego, ujawniając skrót NTLM ofiary podczas uwierzytelniania”.
Jak chronić skróty NTLM v2 przed dostaniem się w ręce atakujących?
Jak już wcześniej wspomniano, podatność w programie Outlook została naprawiona przez firmę Microsoft w grudniu 2023 roku, ale dwie pozostałe luki wciąż istnieją.
„Nienaprawione systemy nadal pozostają podatne na próby ataków groźnych podmiotów, którzy próbują ukraść zaszyfrowane hasła metodami opisanymi powyżej” – mówi Taler.
Microsoft niedawno ogłosił swoje trwające działania mające na celu ograniczenie używania protokołu NTLM i plan wyłączenia go całkowicie w systemie Windows 11.
Tymczasem istnieje kilka sposobów, które organizacje mogą zastosować, aby chronić się przed atakami opartymi na skrótach NTLM v2, dodał Taler: włączanie podpisu SMB (jeśli nie jest domyślnie włączony), blokowanie wychodzącej autoryzacji NTLM v2 i wymuszanie uwierzytelniania Kerberos oraz blokowanie autoryzacji NTLM v2 na poziomie sieciowym i aplikacyjnym.
FAQ
Jak atakujący mogą wykorzystać skradzione skróty NTLM v2?
Atakujący mogą wykorzystać skradzione skróty NTLM v2 do przeprowadzenia ataków podstawienia autoryzacji lub ataków brute-force w celu uzyskania dostępu do poufnych zasobów i systemów przedsiębiorstwa.
Jakie są trzy sposoby na zdobycie skrótów NTLM v2?
Trzy sposoby na zdobycie skrótów NTLM v2 to:
1. Wykorzystanie podatności w programie Microsoft Outlook
2. Używanie obsługi URI i narzędzia WPA
3. Korzystanie z programu Eksplorator plików systemu Windows
Jak chronić skróty NTLM v2 przed dostaniem się w ręce atakujących?
Aby chronić skróty NTLM v2 przed atakującymi, organizacje mogą zastosować następujące środki:
– Włączanie podpisu SMB
– Blokowanie wychodzącej autoryzacji NTLM v2 i wymuszanie uwierzytelniania Kerberos
– Blokowanie autoryzacji NTLM v2 na poziomie sieciowym i aplikacyjnym
Definitions:
– Skróty NTLM v2: Protokół kryptograficzny NTLM v2, najnowsza wersja protokołu NTLM, używany przez system Microsoft Windows do uwierzytelniania użytkowników na zdalnych serwerach za pomocą skrótów haseł.
– Podstawienie autoryzacji: Atak, w którym żądania uwierzytelniania NTLM v2 są przechwytywane i przekierowywane do innego serwera, umożliwiając atakującemu uzyskanie dostępu do poufnych zasobów i systemów przedsiębiorstwa.
– Atak brute-force: Atak polegający na próbie odszyfrowania skrótu hasła poprzez wielokrotne i automatyczne wypróbowanie wszystkich możliwych kombinacji haseł.
– CVE-2023-35636: Numer identyfikacyjny podatności, która została naprawiona, dotyczący skrótu NTLM v2.
Suggested related links:
– Microsoft
– Varonis
The source of the article is from the blog bitperfect.pe