Pesquisadores alertam para vulnerabilidades no protocolo de autenticação NTLM da Microsoft

June 14, 2019

Pesquisadores de segurança da Preempt alertaram para duas vulnerabilidades críticas no protocolo de autenticação NTLM da Microsoft.

 

Se exploradas com sucesso, elas podem permitir a execução remota de códigos maliciosos em qualquer versão do Windows ou pode permitir que os atacantes acessem qualquer servidor Web que suporte Windows Integrated Authentication (WIA) como Exchange ou ADFS.

 

Pesquisadores alertam para vulnerabilidades no protocolo de autenticação NTLM da Microsoft

 

O protocolo de autenticação NTLM (ou NT LAN Manager) é usado para fins de autenticação de cliente/servidor para autenticar usuários remotos e fornecer segurança de sessão quando solicitado por protocolos de aplicativo.

 

Embora a Microsoft forneça mitigações para bloquear certos ataques que exploram o NTLM, a equipe de pesquisadores da Preempt foi capaz encontrar diversas falhas nestas mitigações que poderiam ser exploradas por atacantes.

 

A Microsoft incluiu um campo Message Integrity Code (MIC) criado para garantir que atacantes não possam adulterar mensagens do protocolo de autenticação NTLM. O problema é que os pesquisadores da Preempt encontraram uma forma de burlar este campo MIC e assim alterar campos de fluxo de autenticação NTLM, como a negociação de assinatura.

 

O campo SMB Session Signing implementado pela empresa para impedir que os atacantes possam retransmitir mensagens de autenticação NTLM para estabelecer sessões SMB e DCE/RPC também foi burlado pelos pesquisadores.

 

O método usado por eles permite que os atacantes retransmitam solicitações de autenticação do protocolo NTLM para qualquer servidor no domínio, incluindo controladores de domínio, enquanto estabelece uma sessão assinada para executar remotamente os códigos no alvo.

 

A pior parte é que, se os atacantes conseguirem retransmitir a autenticação de um usuário privilegiado, o ataque pode levar ao comprometimento de todo domínio:

 

 

Além disso, embora a mitigação Enhanced Protection for Authentication (EPA) tenha sido criada para impedir a retransmissão de mensagens NTLM para sessões TLS, os pesquisadores da Preempt também conseguiram contornar isso. Neste caso o método usado pode permitir que os atacantes alterem “mensagens NTLM para gerar informações de vinculação de canal legítimas”.

 

Isso possibilita que eles se autentiquem em vários servidores Web com Windows com os privilégios do usuário comprometido para “ler os emails do usuário (por retransmissão para servidores OWA) ou até mesmo se conectar a recursos de nuvem (por retransmissão para servidores ADFS)”.

 

A Preempt já havia notificado a Microsoft sobre as vulnerabilidades no protocolo de autenticação NTLM, que foram identificadas como CVE-2019-1040 e CVE-2019-1019, e as correções foram disponibilizadas nesta semana como parte do ciclo mensal de atualizações da empresa.

 

 

 

Please reload

Posts Em Destaque

Confira as tendências para os próximos anos no Marketing Digital;

August 3, 2020

1/10
Please reload

Posts Recentes