Preempt Forscher finden zwei kritische Schwachstellen in Microsoft NTLM, welche die Ausführung eines bösartigen Remote-Codes auf jedem Windows-Computer ermöglichen

SAN FRANCISCO, June 12, 2019 (GLOBE NEWSWIRE) -- Preempt, der führende Anbieter von Zugangsberechtigungssystemen für Echtzeit-Gefahrenabwehr, gab heute bekannt, dass sein Forschungsteam zwei kritische Microsoft-Schwachstellen gefunden hat, die aus drei logischen Fehlern in NTLM, dem proprietären Authentifizierungsprotokoll des Unternehmens, bestehen. Diese Schwachstellen ermöglichen es Angreifern, auf jedem Windows-Computer aus der Ferne bösartigen Code auszuführen oder sich bei jedem Webserver zu authentifizieren, der Windows Integrated Authentication (WIA) wie Exchange oder ADFS unterstützt. Die Forschung zeigt, dass alle Windows-Versionen anfällig sind.

NTLM ist anfällig für Relay-Angriffe, was es den Akteuren ermöglicht, eine Authentifizierung zu erfassen und an einen anderen Server weiterzuleiten. Dadurch haben sie die Möglichkeit, Operationen auf dem entfernten Server unter Verwendung der Rechte des authentifizierten Benutzers durchzuführen. NTLM Relay ist eine der häufigsten Angriffstechniken in Active Directory-Umgebungen, bei denen der Angreifer eine Maschine kompromittiert und dann seitlich zu anderen Maschinen über die NTLM-Authentifizierung, die auf den kompromittierten Server gerichtet ist, übergeht.

Microsoft hatte zuvor mehrere Abschwächungen entwickelt, um NTLM-Relay-Angriffe zu verhindern. Preempt-Forscher haben herausgefunden, dass diese Abschwächungen die folgenden Mängel aufweisen, die von Angreifern ausgenutzt werden können:

  • Das Feld Message Integrity Code (MIC) stellt sicher, dass NTLM-Nachrichten nicht von Angreifern manipuliert werden. Der von den Preempt-Forschern entdeckte Bypass ermöglicht es Angreifern, den „MIC“-Schutz zu entfernen und verschiedene Felder im NTLM-Authentifizierungsablauf zu ändern, wie z.B. die Unterzeichnung von Verhandlungen.
  • Die SMB-Sitzungssignatur verhindert, dass Angreifer NTLM-Authentifizierungsnachrichten weiterleiten, um SMB- und DCE/RPC-Sitzungen einzurichten. Der von den Preempt-Forschern entdeckte Bypass ermöglicht es Angreifern, NTLM-Authentifizierungsanfragen an jeden Server in der Domain, einschließlich Domain-Controller, weiterzuleiten und gleichzeitig eine signierte Sitzung zur Ausführung von Remote-Code aufzubauen. Wenn die weitergeleitete Authentifizierung von einem privilegierten Benutzer stammt, ist die gesamte Domain kompromittiert.
  • Enhanced Protection for Authentication (EPA) verhindert, dass Angreifer NTLM-Nachrichten an TLS-Sitzungen weiterleiten. Mithilfe des von den Preempt-Forschern entdeckten Bypasses können Angreifer NTLM-Nachrichten ändern, um legitime kanalgebundene Informationen zu erzeugen. Dies ermöglicht es Angreifern, sich mit den Rechten des angegriffenen Benutzers mit verschiedenen Webservern zu verbinden und Operationen durchzuführen, wie z.B.: Lesen der E-Mails des Benutzers (durch Weiterleiten an OWA-Server) oder sogar Verbinden mit Cloud-Ressourcen (durch Weiterleiten an ADFS-Server).

Mehr Details zu den gemeldeten Risiken dieser Fehler finden Sie im Sicherheitsberatungsblog von Preempt.

„Obwohl NTLM Relay eine alte Technik ist, können Unternehmen die Verwendung des Protokolls nicht vollständig ausschließen, da es viele Anwendungen zerstören würde. Daher stellt es immer noch ein erhebliches Risiko für Unternehmen dar, insbesondere wenn ständig neue Schwachstellen entdeckt werden“, sagte Roman Blachman, Chief Technology Officer und Mitbegründer von Preempt. „Unternehmen müssen in erster Linie sicherstellen, dass alle ihre Windows-Systeme gepatcht und sicher konfiguriert sind. Darüber hinaus können Unternehmen ihre Umgebungen weiter schützen, indem sie Netzwerk-NTLM-Transparenz erlangen. Preempt arbeitet mit seinen Kunden zusammen, um sicherzustellen, dass sie diese Transparenz haben und bestmöglich geschützt sind.“

Damit sich Unternehmen vor diesen Schwachstellen schützen können, müssen sie:

  1. Patchen - Stellen Sie sicher, dass Workstations und Server ordnungsgemäß gepatcht sind. Es ist jedoch wichtig zu beachten, dass Patches allein nicht ausreichen, sondern dass Unternehmen auch Konfigurationsänderungen vornehmen müssen, um vollständig geschützt zu sein.
  2. Konfiguration:
    1. SMB-Signatur durchsetzen - Um Angreifer daran zu hindern, einfachere NTLM-Relay-Angriffe zu starten, aktivieren Sie auf allen Rechnern im Netzwerk SMB-Signatur.
    2. Blocken von NTLMv1 - Da NTLMv1 als wesentlich weniger sicher gilt, wird empfohlen, es vollständig zu blockieren, indem man den entsprechenden GPO einstellt.
    3. Durchsetzung der LDAP/S-Signatur - Um NTLM-Relay in LDAP zu verhindern, erzwingen Sie LDAP-Signatur und LDAPS-Kanalbindung für Domain-Controller.
    4. Durchsetzung der EPA - Um NTLM-Relay auf Webservern zu verhindern, härten Sie alle Webserver (OWA, ADFS) ab, um nur Anfragen mit EPA zu akzeptieren.
  3. Reduzierung der NTLM-Nutzung - Selbst bei vollständig gesicherter Konfiguration und gepatchten Servern stellt NTLM ein deutlich höheres Risiko als Kerberos dar. Es wird empfohlen, NTLM dort zu entfernen, wo es nicht benötigt wird.

Preempt-Kunden verfügen bereits über Schutz vor NTLM-Schwachstellen. Die Preempt-Plattform bietet vollständige Netzwerk-NTLM-Transparenz, so dass Unternehmen den NTLM-Verkehr reduzieren und verdächtige NTLM-Aktivitäten analysieren können. Darüber hinaus verfügt Preempt über eine innovative, branchenweit erste deterministische NTLM-Relay-Erkennung und ist in der Lage, alle GPO-Konfigurationen zu überprüfen und bei unsicheren Konfigurationen Warnung zu geben. Diese Konfigurationsprüfung ist auch in Preempt Lite verfügbar, einer kostenlosen Version der Preempt-Plattform. Unternehmen können Preempt Lite hierherunterladen und überprüfen, welche Bereiche ihres Netzwerks gefährdet sind.

Diese und weitere Schwachstellen werden von den Preempt-Forschern Yaron Zinar und Marina Simakov auf der Black Hat USA 2019 vorgestellt.

Mit Stand vom 11. Juni 2019 hat Microsoft am Patch Tuesday, durch Preempts verantwortungsvolle Offenlegung der NTLM-Schwachstellen, CVE-2019-1040 und CVE-2019-1019-1019 veröffentlicht.  

Über Preempt 
Preempt bietet einen modernen Ansatz zur Authentifizierung und Sicherung der Identität im Unternehmen. Mit der patentierten Technologie für Conditional Access hilft Preempt Unternehmen, die Identitätshygiene zu optimieren und Angriffe in Echtzeit zu stoppen, bevor sie sich auf das Geschäft auswirken. Preempt erkennt und verhindert kontinuierlich Bedrohungen auf der Grundlage von Identität, Verhalten und Risiko in allen Clouds und lokalen Authentifizierungs- und Zugriffsplattformen. Dieser reibungsarme Ansatz ermöglicht Sicherheitsteams mehr Transparenz und Kontrolle über Konten und privilegierten Zugriff, während gleichzeitig Konformität erreicht und Vorfälle automatisch gelöst werden. Erfahren Sie mehr:  www.preempt.com.

Mehr Informationen:
Angelique Faul
Angelique@silverjacket.net
513-633-0897