CVE 2019-1166 およびCVE-2019-1338は、Preemptの研究者によって発見されたMicrosoftのNTLM認証プロトコルの2つの脆弱性です。.
幸運, 両方の欠陥は、10月にMicrosoftによってパッチが適用されました 2019 火曜日のパッチ. 攻撃者は欠陥を悪用して完全なドメイン侵害を達成する可能性があります.
CVE 2019-1166
CVE 2019-1166 脆弱性により、攻撃者はMICをバイパスできる可能性があります (メッセージ整合性コード) NTLMメッセージフローの任意のフィールドを変更するためのNTLM認証の保護, 署名要件を含む. これにより、攻撃者は、署名のネゴシエーションに成功した認証試行を別のサーバーに中継できるようになる可能性があります。, 署名要件を完全に無視するようにサーバーをだましている間, 研究者を先取りする 説明. 署名を強制しないすべてのサーバーは、この攻撃に対して脆弱です.
CVE 2019-1338
CVE 2019-1338 脆弱性により、攻撃者はMIC保護を回避できる可能性があります, 他のNTLMリレー緩和策と一緒に, 認証のための強化された保護のような (EPA), LMv2チャレンジ応答を送信している特定の古いNTLMクライアントのターゲットSPN検証. この脆弱性は、NTLMリレーを使用してOWAやADFSなどの重要なサーバーへの認証に成功し、貴重なユーザーデータを盗む攻撃につながる可能性があります。.
NTLMリレーがActiveDirectoryインフラストラクチャに対する最も一般的な攻撃の1つであることは注目に値します. サーバー署名とEPA (認証のための強化された保護) NTLMリレー攻撃に対する最も重要な防御メカニズムと見なされています. これらの保護が厳密に実施されている場合, ネットワークはそのような攻撃から保護されています. でも, これらの防御の実施を妨げる可能性のあるさまざまな理由があるため, 多くのネットワークは効率的に保護されていません.
すでに述べたように, Microsoftは、10月にこれら2つの欠陥に対処するためのパッチをすでにリリースしています。 2019 火曜日のパッチ. 管理者への一般的なアドバイスは、パッチを適用することです, NTLMの緩和策を実施する (サーバー署名とEPA), NTLMリレーの検出および防止技術を適用します. その他の重要なヒントには、ネットワーク内のNTLMトラフィックの監視、および安全でないNTLMトラフィックの制限が含まれます。, LM応答を送信するクライアントを取り除く, ネットワークでのNTLMの使用を削減しようとしています.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: