CVE 2019-1166 y CVE-2019-1338 son dos vulnerabilidades en el protocolo de autenticación NTLM de Microsoft que fueron descubiertos por los investigadores adelantarse.
Afortunadamente, ambos defectos fueron parcheados por Microsoft en octubre 2019 Martes de parches. Los atacantes podrían explotar las fallas para lograr el compromiso de dominio completo.
CVE 2019-1166
la CVE 2019-1166 vulnerabilidad podría permitir a los atacantes para eludir el MIC (Código de integridad de mensajes) la protección de la autenticación NTLM para modificar cualquier campo en el flujo de mensajes NTLM, incluyendo el requisito de firma. Esto podría permitir a atacantes más para transmitir los intentos de autenticación que han negociado con éxito la firma a otro servidor, mientras engañando al servidor de ignorar por completo el requisito de firma, anticiparse a los investigadores explicado. Todos los servidores que no hacen cumplir la firma son vulnerables a este ataque.
CVE 2019-1338
la CVE 2019-1338 vulnerabilidad podría permitir a un atacante para eludir la protección MIC, junto con otros mitigaciones relé NTLM, Protección mejorada como para la autenticación (EPA), y apuntar a la validación de SPN para ciertos clientes NTLM viejos que están enviando las respuestas de desafío LMv2. La vulnerabilidad puede conducir a ataques de los que se utiliza el relé NTLM para autenticar correctamente a los servidores críticos, como OWA y AD FS para robar datos de usuario valiosa.
Es de destacar que el relé NTLM es uno de los ataques más frecuentes en la infraestructura de Active Directory. firma del servidor y EPA (Protección mejorada para la autenticación) se consideran los mecanismos de defensa más importantes contra los ataques de relé NTLM. Cuando estas protecciones se aplican estrictamente, la red está protegida contra este tipo de ataques. Sin embargo, ya que hay varias razones que pueden obstaculizar la aplicación de estas defensas, muchas redes no están protegidos de manera eficiente.
Como ya se ha mencionado, Microsoft ya publicó los parches para hacer frente a estos dos defectos en la edición de octubre 2019 Martes de parches. El consejo general a los administradores es la aplicación de los parches, hacer cumplir las mitigaciones NTLM (firma del servidor y EPA), y aplicar técnicas de detección de relé y de prevención de NTLM. Otros consejos importantes incluyen la monitorización del tráfico NTLM en su red y restringir el tráfico NTLM insegura, deshacerse de los clientes que envían las respuestas LM, y el intento de reducir el uso de NTLM en las redes.