CVE 2019-1166 e CVE-2019-1338 são duas vulnerabilidades no protocolo de autenticação NTLM da Microsoft que foram descobertos por pesquisadores Preempt.
Felizmente, tanto falhas foram corrigidas pela Microsoft em outubro 2019 patch Tuesday. Os invasores podem explorar as falhas para obter um comprometimento total do domínio.
CVE 2019-1166
O CVE 2019-1166 vulnerabilidade pode permitir que os invasores ignorem o MIC (Código de integridade da mensagem) proteção na autenticação NTLM para modificar qualquer campo no fluxo de mensagens NTLM, incluindo o requisito de assinatura. Isso poderia permitir que invasores retransmitissem tentativas de autenticação que negociaram com êxito a assinatura para outro servidor, enquanto engana o servidor para ignorar completamente o requisito de assinatura, Pesquisadores antecipados explicado. Todos os servidores que não impõem a assinatura estão vulneráveis a esse ataque.
CVE 2019-1338
O CVE 2019-1338 vulnerabilidade pode permitir que invasores evitem a proteção do MIC, juntamente com outras mitigações de retransmissão NTLM, como proteção aprimorada para autenticação (EPA), e direcione a validação SPN para certos clientes NTLM antigos que estão enviando respostas de desafio do LMv2. A vulnerabilidade pode levar a ataques nos quais a retransmissão NTLM é usada para se autenticar com êxito em servidores críticos como OWA e ADFS para roubar dados valiosos do usuário.
Vale ressaltar que o relé NTLM é um dos ataques mais prevalentes na infraestrutura do Active Directory. Assinatura do servidor e EPA (Proteção aprimorada para autenticação) são considerados os mecanismos de defesa mais cruciais contra ataques de revezamento NTLM. Quando essas proteções são rigorosamente aplicadas, a rede está protegida contra esses ataques. Contudo, pois existem várias razões que podem obstruir a implementação dessas defesas, muitas redes não são protegidas eficientemente.
Como já mencionado, A Microsoft já lançou os patches para solucionar essas duas falhas no mês de outubro 2019 patch Tuesday. O conselho geral para os administradores é aplicar os patches, aplicar atenuações de NTLM (assinatura de servidor e EPA), e aplicar técnicas de detecção e prevenção de relés NTLM. Outras dicas importantes incluem monitorar o tráfego NTLM em sua rede e restringir o tráfego NTLM inseguro, livrar-se de clientes enviando respostas LM, e tentando reduzir o uso de NTLM em redes.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: