NTLM támadások mérséklése
Az NTLM (NT LAN Manager) egy régebbi Microsoft-hitelesítési protokoll, amelyet széles körben használnak, de ismert sebezhetőségei miatt jelentős biztonsági kockázatot jelent. Egy nemrégiben felfedezett nulladik napi sebezhetőség lehetővé teszi a támadók számára, hogy NTLM-hitelesítő adatokat lopjanak el pusztán azáltal, hogy a felhasználó megtekint egy speciálisan kialakított rosszindulatú fájlt a Windows Intézőben, anélkül, hogy megnyitná azt.
A sérülékenység kihasználása során amikor a felhasználó megtekint egy rosszindulatú fájlt a Windows Intézőben, egy kimenő NTLM-kapcsolat jön létre, amely automatikusan elküldi a bejelentkezett felhasználó NTLM-hashét egy támadó által vezérelt távoli megosztásra. A megszerzett NTLM-hashek lehetővé teszik a támadók számára, hogy hitelesítési relétámadásokat hajtsanak végre, vagy szótáras támadásokkal visszafejtsék a jelszavakat, ezáltal jogosulatlan hozzáférést szerezve érzékeny rendszerekhez.
A Microsoft védelmi intézkedésként a következőket javasolja: Ahol lehetséges, térjenek át modernebb hitelesítési protokollokra, például a Kerberosra, amely biztonságosabb alternatívát nyújt. Konfigurálják a rendszereket úgy, hogy megakadályozzák a kimenő NTLM-forgalmat ismeretlen vagy nem megbízható hálózatok felé. Az SMB-aláírás bekapcsolása megakadályozza a hitelesítési relétámadásokat azáltal, hogy biztosítja az adatok integritását a hálózati kommunikáció során. A többtényezős hitelesítés hozzáadása további védelmi réteget biztosít, még akkor is, ha a támadó megszerezte a felhasználó jelszavát, mivel további hitelesítési tényezőre lesz szükség a hozzáféréshez. Alkalmazzanak olyan szabályokat, amelyek figyelembe veszik a felhasználó viselkedését, helyét és az eszköz biztonsági állapotát a hozzáférési döntések meghozatalakor, csökkentve ezzel a jogosulatlan hozzáférés kockázatát.
A Microsoft várhatóan csak később ad ki hivatalos javítást erre a sebezhetőségre, addig is fontos a rendszeres frissítések telepítése és a legújabb biztonsági javítások alkalmazása. Rendszeresen vizsgálják felül a hálózati és rendszerbeállításokat, hogy biztosítsák az NTLM-használat minimalizálását és a megfelelő védelmi intézkedések érvényesítését.
Az NTLM sebezhetőségei komoly fenyegetést jelentenek a vállalati környezetekben, ezért elengedhetetlen a megfelelő védelmi intézkedések bevezetése és a biztonsági protokollok naprakészen tartása a rendszerek és adatok védelme érdekében.