Active Directory bypass az NTLMv1 engedélyezéséhez
Kiberbiztonsági kutatók megállapították, hogy az NTLMv1 letiltására szolgáló Microsoft Active Directory csoportházirend egyszerűen megkerülhető egy hibás konfiguráció esetén. „Egy egyszerű félrekonfiguráció a helyi alkalmazásokban felülbírálhatja a csoportházirendet, és ezzel gyakorlatilag semmissé teheti az NTLMv1 hitelesítések leállítására szolgáló csoportházirendet” – áll a Silverfort jelentésében. Az NTLM még mindig széles körben használt mechanizmus, különösen Windows-környezetekben a felhasználók hálózaton keresztüli hitelesítésére. Ez a legacy protokoll – bár a visszafelé kompatibilitási követelmények miatt nem távolították el – 2024 közepétől elavulttá vált.
Tavaly év végén a Microsoft hivatalosan eltávolította az NTLMv1-et a Windows 11 24H2 verziójától és a Windows Server 2025-től kezdődően. Bár az NTLMv2 új enyhítéseket vezet be, amelyek megnehezítik a relay támadások végrehajtását, a technológiát számos biztonsági gyengeség érinti, amelyeket a fenyegető szereplők aktívan kihasználnak, hogy hozzáférjenek érzékeny adatokhoz.
A csoportházirend-mechanizmus a Microsoft megoldása az NTLMv1 letiltására a hálózaton. „Az LMCompatibilityLevel registry kulcs megakadályozza, hogy a tartományvezérlők kiértékeljék az NTLMv1 üzeneteket, és az NTLMv1-gyel történő hitelesítéskor rossz jelszó hibát (0xC000006A) ad vissza.” – áll a jelentésben. A Silverfort vizsgálata azonban megállapította, hogy a Netlogon Remote Protocol (MS-NRPC) egyik beállítását kihasználva meg lehet kerülni a csoportházirendet, és mégis lehet NTLMv1 hitelesítést használni. Konkrétan a NETLOGON_LOGON_IDENTITY_INFO nevű adatszerkezetet használták ki, amely egy ParameterControl nevű mezőt tartalmaz, amely viszont a következő beállítással rendelkezik: „Allow NTLMv1 authentication (MS-NLMP) when only NTLMv2 (NTLM) is allowed”.
A Silverfort megállapítása tehát azt jelenti, hogy az on-prem alkalmazások konfigurálhatók úgy, hogy engedélyezzék az NTLMv1-et, figyelmen kívül hagyva a legmagasabb szintű, Active Directoryban beállított Group Policy LAN Manager hitelesítési szintet. Az NTLMv1 által jelentett kockázat mérséklése érdekében elengedhetetlen, hogy az audit logok engedélyezése a tartományban az összes NTLM-hitelesítéshez, és az olyan alkalmazásokmonitorozása, amelyek NTLMv1 üzeneteket kérnek az ügyfelektől.
