CVE 2019-1166 e CVE-2019-1338 sono due vulnerabilità in protocollo di autenticazione NTLM di Microsoft che sono stati scoperti dai ricercatori precorrere.
Per fortuna, entrambi i difetti sono stati modificati da Microsoft nel mese di ottobre 2019 Patch Martedì. I pirati informatici potrebbero sfruttare le falle per raggiungere la piena compromesso dominio.
CVE 2019-1166
il CVE 2019-1166 vulnerabilità potrebbe consentire agli aggressori di bypassare il MIC (Message Integrity Code) Protezione autenticazione NTLM di modificare qualsiasi campo del flusso dei messaggi NTLM, tra cui l'obbligo di firma. Questo potrebbe inoltre consentire agli aggressori di relè tentativi di autenticazione che hanno negoziato con successo la firma a un altro server, mentre ingannando il server di ignorare del tutto il requisito di firma, precorrere i ricercatori ha spiegato. Tutti i server che non fanno rispettare la firma sono vulnerabili a questo tipo di attacco.
CVE 2019-1338
il CVE 2019-1338 vulnerabilità potrebbe consentire agli aggressori di eludere la protezione MIC, insieme con altri mitigazione relè NTLM, Protezione avanzata come per l'autenticazione (EPA), e indirizzare la convalida SPN per alcuni clienti NTLM vecchi che inviano LMv2 risposte di autenticazione. La vulnerabilità può portare ad attacchi di cui relè NTLM viene utilizzato per l'autenticazione per i server critici come OWA e ADFS per rubare dati preziosi utente.
È interessante notare che il relè NTLM è uno degli attacchi più diffusi sulla infrastruttura di Active Directory. firma Server e EPA (Protezione avanzata per l'autenticazione) sono considerati i meccanismi di difesa più cruciali contro attacchi relè NTLM. Quando queste protezioni vengano rigorosamente rispettate, la rete è protetta da tali attacchi. Tuttavia, poiché ci sono vari motivi che possono ostacolare l'attuazione di tali difese, molte reti non sono protetti in modo efficiente.
Come già accennato, Microsoft ha già rilasciato le patch per affrontare questi due difetti nel ottobre 2019 Patch Martedì. Il consiglio generale per gli amministratori è quello di applicare le patch, far rispettare mitigazioni NTLM (firma server e EPA), e applicare tecniche di rilevamento relè e prevenzione NTLM. Altri importanti suggerimenti includono il monitoraggio del traffico NTLM nella loro rete e limitando il traffico NTLM insicuro, sbarazzarsi di clienti che inviano le risposte LM, e il tentativo di ridurre l'uso di NTLM in reti.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: