NTLM v2是最新版本的NTLM协议,是微软Windows用于远程服务器上的用户身份验证的加密协议,通过密码哈希值实现。窃取的NTLM v2哈希可以被用于攻击者在其计算机上进行离线暴力破解或身份验证替代攻击。在这两种情况下,恶意实体可以伪装成用户并获取对机密企业资源和系统的访问权。
Dolev Taler解释说:“在身份验证替代攻击中,攻击者可以拦截用户发送的NTLM v2身份验证请求,并将其转发到另一台服务器。然后,受害者的计算机将身份验证响应发送到攻击者的服务器,攻击者可以利用这些信息在受害者的服务器上进行身份验证。”
获取NTLM v2哈希值的三种方法
Varonis的研究人员发现,可以通过以下三种方式窃取NTLM v2哈希值:
1. 利用Microsoft Outlook中的漏洞。
2. 利用URI处理(即协议管理器)和WPA(Windows Performance Analyzer,软件开发人员使用的工具)。
3. 利用Windows文件资源管理器程序。
研究人员调查了这三种攻击场景的案例,并注意到在每种攻击中,受害者只需点击一两次链接或按钮。
利用Outlook中的漏洞尤其容易,使用用户之间的日历共享功能。“攻击者向受害者创建一封电子邮件邀请,指向一个.ICS文件路径,该路径指向攻击者控制的计算机。通过监听自我控制的路径(域名、IP、文件夹路径、UNC等),恶意实体可以获取试图连接到该资源的数据包。” Taler解释说:“如果受害者在消息中点击’打开此iCal’按钮,他们的计算机将尝试从攻击者的计算机下载配置文件,并在身份验证过程中揭示受害者的NTLM哈希值。”
如何保护NTLM v2哈希值免受攻击?
正如前面提到的,微软在2023年12月修补了Outlook中的漏洞,但其他两个漏洞仍然存在。“未修补的系统仍然容易受到恶意行为者尝试使用上述方法窃取加密密码的攻击。” Taler说道。微软最近宣布了限制使用NTLM协议的持续努力,并计划在Windows 11中完全禁用它。
与此同时,Taler补充道,组织可以采取多种措施来防止基于NTLM v2哈希的攻击:启用SMB签名(如果尚未启用),阻止出站的NTLM v2身份验证并强制使用Kerberos身份验证,并在网络和应用层面上阻止NTLM v2身份验证。
常见问题解答
Q: 有没有修补这两个漏洞的计划?
A: 目前尚未有公布的针对这两个漏洞的修补计划。
Q: 如果我的系统仍然容易受到攻击,我该怎么保护我的NTLM v2哈希值?
A: 可以采取以下几种措施来保护NTLM v2哈希值:启用SMB签名,阻止出站NTLM v2身份验证并强制使用Kerberos身份验证,以及在网络和应用层面上阻止NTLM v2身份验证。
Q: NTLM v2哈希攻击会对企业造成哪些风险?
A: NTLM v2哈希攻击可能导致攻击者获取对企业资源和系统的未经授权的访问权限,从而造成数据泄露、信息窃取等风险。
Q: 是否有其他更安全的身份验证协议可以替代NTLM v2?
A: 目前,Kerberos是一种较为安全的替代协议,建议组织使用Kerberos身份验证来增加系统安全性。
(来源链接:varonis.com)
The source of the article is from the blog japan-pc.jp