CVE 2019-1166 und CVE-2019-1338 sind zwei Schwachstellen in Microsoft-NTLM-Authentifizierungsprotokoll, das von Preempt Forscher entdeckt wurden.
Zum Glück, Beide Mängel wurden von Microsoft im Oktober gepatcht 2019 Patchday. Angreifer könnten die Schwachstellen ausnutzen vollständigen Domain-Kompromiss zu erreichen.
CVE 2019-1166
die CVE 2019-1166 Sicherheitsanfälligkeit kann es Angreifern ermöglichen, die MIC zu umgehen (Message Integrity Code) Schutz auf NTLM-Authentifizierung ein beliebiges Feld in der NTLM-Nachrichtenfluss zu modifizieren,, einschließlich der Unterzeichnung Anforderung. Dies könnte ermöglichen Angreifer Authentifizierungsversuche Relais, die erfolgreich Unterzeichnung auf einem anderen Server ausgehandelt haben, während des Servers austricksen zu vollständig die Unterzeichnung Anforderung ignorieren, preempt Forscher erklärt. Alle Server, die Durchsetzung nicht unterzeichnet sind anfällig für diesen Angriff.
CVE 2019-1338
die CVE 2019-1338 Sicherheitsanfälligkeit kann Angreifern ermöglichen, die MIC Schutz zu entziehen, zusammen mit anderen NTLM Relais mitigations, wie erweiterter Schutz für die Authentifizierung (EPA), und Ziel-SPN-Validierung für bestimmte alte NTLM-Clients, die LMv2 Challenge-Antworten senden. Die Sicherheitsanfälligkeit kann zu Angriffen führen, dass NTLM Relais verwendet wird, um erfolgreich zu kritische Server zu authentifizieren wie OWA und ADFS wertvolle Benutzerdaten zu stehlen.
Es ist bemerkenswert, dass die NTLM-Relais eine der häufigsten Angriffe auf die Active Directory-Infrastruktur. Server Unterzeichnung und EPA (Verbesserter Schutz für die Authentifizierung) die wichtigsten Abwehrmechanismen gegen NTLM Relay-Angriffe werden als. Wenn dieser Schutz strikt durchgesetzt, das Netz vor solchen Angriffen geschützt. Jedoch, da es verschiedene Gründe gibt, die die Umsetzung dieser Verteidigung behindern können, viele Netzwerke nicht effizient geschützt.
Wie bereits erwähnt, Microsoft veröffentlichte bereits die Patches diese beiden Mängel im Oktober ansprechen 2019 Patchday. Die allgemeine Beratung admins ist den Patches anwenden, erzwingen NTLM mitigations (Server Unterzeichnung und EPA), und gelten NTLM Relais Erkennung und Verhinderung von Techniken. Weitere wichtige Tipps umfassen die Überwachung NTLM-Verkehr in ihrem Netzwerk und beschränken unsicheren NTLM-Verkehr, Erhalten von Kunden zu senden LM Antworten rid, und versucht, die Verwendung von NTLM in Netzwerken zu reduzieren.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: