CVE 2019-1166 en CVE-2019-1338 zijn twee kwetsbaarheden in Microsoft's NTLM verificatieprotocol die werden ontdekt door preempt onderzoekers.
Gelukkig, beide gebreken werden gepatcht door Microsoft in oktober 2019 Patch Tuesday. Aanvallers kunnen de gebreken benutten om volledige domein compromis te bereiken.
CVE 2019-1166
de CVE 2019-1166 beveiligingslek kan aanvallers in staat stellen om de MIC omzeilen (Message Integrity Code) bescherming op NTLM-verificatie om een veld in de NTLM berichtenstroom wijzigen, inclusief het ondertekenen eis. Dit kan verder laten aanvallers authenticatie pogingen die met succes hebben onderhandeld ondertekening naar een andere server relais, terwijl tricking de server volledig te negeren de ondertekening eis, preempt onderzoekers toegelicht. Alle servers die geen ondertekenen van af te dwingen zijn kwetsbaar voor deze aanval.
CVE 2019-1338
de CVE 2019-1338 beveiligingslek kan aanvallers op de MIC bescherming te omzeilen, samen met andere NTLM relais beperkende factoren, zoals Verbeterde beveiliging voor verificatie (EPA), en doel SPN validatie voor bepaalde oude NTLM klanten die sturen LMv2 uitdaging reacties. Het beveiligingslek kan leiden tot aanvallen waarbij NTLM relais wordt gebruikt om te kunnen verifiëren kritische servers, zoals OWA en ADFS om waardevolle gebruikersgegevens te stelen.
Het is opmerkelijk dat de NTLM relais is een van de meest voorkomende aanvallen op de Active Directory-infrastructuur. Server ondertekening en EPA (Verbeterde beveiliging voor verificatie) worden beschouwd als de meest cruciale afweermechanismen tegen NTLM relay aanvallen. Wanneer deze bescherming strikt worden gehandhaafd, het netwerk wordt beschermd tegen dergelijke aanvallen. Echter, want er zijn verschillende redenen die de uitvoering van deze afweer kan belemmeren, veel netwerken niet efficiënt beschermd.
Zoals reeds gezegd, Microsoft al de patches uitgebracht om deze twee fouten in het oktobernummer pakken 2019 Patch Tuesday. Het algemene advies aan beheerders is om de patches, afdwingen NTLM beperkende factoren (server ondertekening en EPA), en toepassen NTLM relais detectie en preventietechnieken. Andere belangrijke tips omvatten het bewaken van NTLM verkeer in hun netwerk en het beperken van onveilig NTLM verkeer, het wegwerken van de cliënten verzenden LM reacties, en een poging om het gebruik van NTLM in netwerken te verminderen.