CVE 2019-1166 et CVE-2019-1338 sont deux vulnérabilités dans le protocole d'authentification NTLM de Microsoft qui ont été découverts par des chercheurs préempter.
Heureusement, les défauts ont été corrigés par Microsoft en Octobre 2019 Patch Tuesday. Les pirates pourraient exploiter les failles pour parvenir à un compromis de domaine complet.
CVE 2019-1166
le CVE 2019-1166 la vulnérabilité pourrait permettre à des attaquants afin de contourner la MIC (Message Code intégrité) protection sur l'authentification NTLM pour modifier tous les champs dans le flux de messages NTLM, y compris l'exigence de signature. Cela pourrait en outre permettre à des attaquants de relayer les tentatives d'authentification qui ont négocié avec succès la signature à un autre serveur, tout en trompant le serveur d'ignorer complètement l'exigence de signature, préempter chercheurs expliqué. Tous les serveurs qui ne font pas respecter la signature sont vulnérables à cette attaque.
CVE 2019-1338
le CVE 2019-1338 la vulnérabilité pourrait permettre à des attaquants d'échapper à la protection MIC, ainsi que d'autres mesures d'atténuation de relais NTLM, comme protection renforcée pour l'authentification (EPA), et cibler la validation SPN pour certains anciens clients NTLM qui envoient des réponses de défi LMv2. La vulnérabilité peut conduire à des attaques où le relais NTLM est utilisé pour authentifier les serveurs critiques tels que OWA et ADFS pour voler des données utilisateur précieux.
Il est à noter que le relais NTLM est l'une des attaques les plus répandues sur l'infrastructure Active Directory. signature du serveur et EPA (Protection renforcée pour l'authentification) sont considérés comme des mécanismes de défense les plus cruciales contre les attaques de relais NTLM. Lorsque ces protections sont strictement appliquées, le réseau est protégé contre de telles attaques. Cependant, car il y a différentes raisons qui peuvent entraver la mise en œuvre de ces moyens de défense, de nombreux réseaux ne sont pas protégés efficacement.
Comme déjà mentionné, Microsoft a déjà sorti les correctifs pour résoudre ces deux failles dans le Octobre 2019 Patch Tuesday. Les conseils généraux aux administrateurs est d'appliquer les correctifs, appliquer atténuations NTLM (signature du serveur et EPA), et appliquer les techniques de détection de relais NTLM et prévention. D'autres conseils importants comprennent la surveillance du trafic NTLM dans leur réseau et en limitant le trafic NTLM insécurité, se débarrasser des clients envoyant des réponses LM, et tenter de réduire l'utilisation de NTLM dans les réseaux.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: