Прощай, NTLM: Microsoft отключает опасный протокол, который был старше многих сисадминов
NewsMakerЗадумывался как подстраховка, а стал любимой лазейкой для взломщиков…
Microsoft решила наконец поставить NTLM на задний план и в ближайших релизах Windows сделать так, чтобы этот протокол по умолчанию не использовался. Компания объясняет шаг тем, что за десятилетия вокруг NTLM накопился целый набор слабых мест, которыми пользуются злоумышленники, когда атакуют корпоративные сети.
NTLM, сокращение от New Technology LAN Manager , появился в 1993 году вместе с Windows NT 3.1 и пришёл на смену ещё более старому LAN Manager. С тех пор архитектура доменных сред сильно изменилась. Начиная с Windows 2000 в домене основным механизмом стал Kerberos, а NTLM остался как запасной вариант на случай, если Kerberos недоступен. Проблема в том, что «запасной вариант» давно превратился в удобную лазейку, потому что у NTLM слабее криптография и больше практических сценариев для атак.
Одна из самых известных схем злоупотребления связана с NTLM relay . В таком случае атакующий заставляет уже скомпрометированное устройство в сети пройти аутентификацию не там, где нужно, а на сервере под своим контролем. Дальше начинается наращивание привилегий, вплоть до полного захвата домена Windows. В теории защитные меры от relay существуют, но на практике их обходят, если в инфраструктуре остаются серверы, которые всё ещё принимают NTLM. Именно в эту зону попадают техники и уязвимости с именами PetitPotam, ShadowCoerce, DFSCoerce и RemotePotato0, их используют, чтобы обойти ограничения и снова вернуть рабочий путь для relay.
Вторая большая категория, pass-the-hash . Здесь злоумышленники не пытаются подобрать пароль. Они добывают NTLM-хеш, то есть значение, полученное из пароля при вычислении хеша, а затем используют его как замену учётным данным. Хеши крадут через уязвимости в системе или через вредоносное ПО, после чего атакующий может входить как пользователь, вытаскивать чувствительные данные и двигаться по сети дальше, постепенно расширяя охват.
Microsoft решила наконец поставить NTLM на задний план и в ближайших релизах Windows сделать так, чтобы этот протокол по умолчанию не использовался. Компания объясняет шаг тем, что за десятилетия вокруг NTLM накопился целый набор слабых мест, которыми пользуются злоумышленники, когда атакуют корпоративные сети.
NTLM, сокращение от New Technology LAN Manager , появился в 1993 году вместе с Windows NT 3.1 и пришёл на смену ещё более старому LAN Manager. С тех пор архитектура доменных сред сильно изменилась. Начиная с Windows 2000 в домене основным механизмом стал Kerberos, а NTLM остался как запасной вариант на случай, если Kerberos недоступен. Проблема в том, что «запасной вариант» давно превратился в удобную лазейку, потому что у NTLM слабее криптография и больше практических сценариев для атак.
Одна из самых известных схем злоупотребления связана с NTLM relay . В таком случае атакующий заставляет уже скомпрометированное устройство в сети пройти аутентификацию не там, где нужно, а на сервере под своим контролем. Дальше начинается наращивание привилегий, вплоть до полного захвата домена Windows. В теории защитные меры от relay существуют, но на практике их обходят, если в инфраструктуре остаются серверы, которые всё ещё принимают NTLM. Именно в эту зону попадают техники и уязвимости с именами PetitPotam, ShadowCoerce, DFSCoerce и RemotePotato0, их используют, чтобы обойти ограничения и снова вернуть рабочий путь для relay.
Вторая большая категория, pass-the-hash . Здесь злоумышленники не пытаются подобрать пароль. Они добывают NTLM-хеш, то есть значение, полученное из пароля при вычислении хеша, а затем используют его как замену учётным данным. Хеши крадут через уязвимости в системе или через вредоносное ПО, после чего атакующий может входить как пользователь, вытаскивать чувствительные данные и двигаться по сети дальше, постепенно расширяя охват.