研究来自Varonis Threat Labs的研究人员揭露了三种允许攻击者窃取NTLM v2哈希并将其用于暴力攻击或脱机身份验证替代的方法。值得注意的是,漏洞CVE-2023-35636已被修补,但另外两种方法被微软认为是“中等”风险,并尚未得到修补。
攻击者如何利用窃取的NTLM v2哈希?
加密协议NTLM v2是NTLM协议的最新版本,Microsoft Windows使用它来对远程服务器上的用户进行身份验证,使用密码哈希。窃取的NTLM v2哈希可以用于身份验证替代攻击或在攻击者的计算机上进行脱机暴力攻击以解密密码哈希。在这两种情况下,恶意实体可以冒充用户进行身份验证,并获得对机密企业资源和系统的访问权限。
Dolev Taler解释道:“在身份验证替代攻击中,恶意实体会拦截用户的NTLM v2身份验证请求并将其转发到另一个服务器。然后,受害者的计算机会将身份验证响应发送到攻击者的服务器,攻击者可以利用这些信息在受害者的服务器上进行身份验证。”
三种获取NTLM v2哈希的方法
Varonis的研究人员发现,NTLM v2哈希可以通过以下方式窃取:
1. 利用Microsoft Outlook中的漏洞。
2. 利用统一资源标识符(URI)的处理(即协议管理器)和WPA(Windows性能分析器,软件开发人员使用的工具)。
3. 利用Windows文件资源管理器程序。
他们研究了这三种攻击场景的案例,并注意到在每种情况下,受害者只需点击一两次链接或按钮。
利用Outlook中的漏洞特别容易,使用其中的日历共享功能。Taler解释道:“攻击者向受害者创建了一封电子邮件邀请,指向一个指向攻击者控制的计算机的’.ICS’文件路径。通过监听自身控制的路径(域名、IP、文件夹路径、UNC等),恶意实体可以获取到试图连接到该资源的数据包。”他进一步解释道:“如果受害者在邮件中点击’打开此iCal’按钮,他们的计算机将尝试从攻击者的计算机下载配置文件,在身份验证过程中揭示受害者的NTLM哈希值。”
如何保护NTLM v2哈希免受攻击?
如上所述,Microsoft在2023年12月修补了Outlook中的漏洞,但另外两个漏洞仍然存在。“未修补的系统仍然容易受到恶意行为者使用上述方法窃取加密密码的尝试的攻击。” Taler说。微软最近宣布了限制NTLM协议的使用并计划在Windows 11中完全禁用它的持续努力。
同时,组织可以采取几项措施来防止基于NTLM v2哈希的攻击,Taler补充说:启用SMB签名(如果尚未启用),阻止出站NTLM v2身份验证并强制使用Kerberos身份验证,以及在网络和应用程序级别阻止NTLM v2身份验证。
常见问题解答
Q:攻击者使用什么方法来窃取NTLM v2哈希?
A:攻击者可以通过利用Microsoft Outlook中的漏洞、处理统一资源标识符和WPA以及使用Windows文件资源管理器程序来窃取NTLM v2哈希。
Q:NTLM v2哈希可以用于什么目的?
A:窃取的NTLM v2哈希可以用于身份验证替代攻击或在攻击者的计算机上进行脱机暴力攻击以解密密码哈希。
Q:如何保护NTLM v2哈希免受攻击?
A:可以启用SMB签名、阻止出站NTLM v2身份验证并强制使用Kerberos身份验证,以及在网络和应用程序级别阻止NTLM v2身份验证来保护NTLM v2哈希免受攻击。
The source of the article is from the blog publicsectortravel.org.uk