Выявление и смягчение атак NTLM-ретрансляции, нацеленных на контроллеры домена MICROSOFT
Злоумышленники часто эксплуатируют устаревшие протоколы для проникновения в рабочую среду. Но, несмотря на уже известные уязвимости таких протоколов, как Windows NTLM, они широко используются в корпоративных сетях.
Одним из последних серьезных вариаций атаки NTLM-ретрансляції является сочетание уязвимости PetitPotam с ретрансляцией AD-CS, что по наблюдениям исследовательской группы CrowdStrike Identity Protection пользуется высокой популярностью. Хотя последний патч обновлений системы безопасности Microsoft, выпущенный 10 мая 2022 года, содержал поправки для вышеупомянутой уязвимости, проблема полностью не исчезает. Обновление только изменяет требования: если раньше проведение взлома было возможно без аутентификации, то теперь для запуска атаки необходимы данные любой учетной записи Active Directory.
Предлагаем подробно ознакомиться с исправлениями, выяснить какие проблемы остались нерешенными и узнать об усовершенствованиях имеющегося в Falcon Identity Protection средства обнаружения ретрансляции NTLM, способного распознать эксплуатацию уязвимости PetitPotam и подобных методов принудительной аутентификации.
PetitPotam и NTLM ретрансляция
Ретрансляция NTLM всегда являлась популярной техникой атаки. В прошлом наибольшей проблемой было убедить владельца аккаунта пройти аутентификацию на управляемой злоумышленником машине. Но теперь, как оказалось, большую популярность приобретают механизмы принудительной аутентификации конечной точки.
Самыми популярными целями по понятным причинам являются контроллеры домена, поскольку их высокие привилегии делают их выгодной мишенью для атак на ретрансляцию аутентификации. Первый вариант принудительной аутентификации включал службу Print Spooler, тогда как обновленный механизм такой атаки возлагается на MS-EFSRPC протокол (позднее известный как уязвимость PetitPotam). В сочетании с незащищенной по умолчанию конфигурацией Active Directory Certificate Services (AD-CS), которая не поддерживает расширенную защиту проверки подлинности (EPA), это может быть очень опасно, так как может привести к полной компрометации домена за несколько шагов. Злоумышленник может запустить аутентификацию контроллера домена, воспользовавшись уязвимостью PetitPotam и передав ее на сервер AD-CS для запроса сертификата для аккаунта контроллера домена. Используя этот сертификат, злоумышленник может получить TGT для ретранслированной учетной записи контроллера домена и выполнять любые дальнейшие операции, используя его высокие привилегии (например, сброс хешей администратора домена).
Одной из самых серьезных проблем уязвимости PetitPotam к последним обновлениям системы безопасности от Microsoft было то, что злоумышленник мог запустить атаку без проверки подлинности, то есть потребовался лишь сетевой доступ к контроллеру домена. Патч обновлений частично устраняет проблему, то есть атака все еще возможна.
Исправления и оставшиеся проблемы
Обновление безопасности Microsoft, выпущенное во вторник, 10 мая 2022 года, включало в себя частичное исправление уязвимости PetitPotam. Однако это обновление также привело к ошибкам аутентификации для нескольких служб Windows, таких как Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) и Protected Extensible Authentication Protocol (PEAP). По словам Microsoft, «была выявлена проблема, связанная с тем, как контроллер домена обрабатывает соотношение сертификатов с учетными записями компьютера».
В качестве обходного пути корпорация Майкрософт рекомендует вручную сопоставлять сертификаты с учетными записями Active Directory или следовать за KB5014754 для других возможных смягчений. Из-за проблем, вызванных этим патчем, CISA предостерегла от развертывания его на контроллерах домена, что оставило многие организации открытыми для атаки принудительной аутентификации PetitPotam. 19 мая 2022 г. было выпущено дополнительное обновление для устранения сбоев аутентификации, вызванных последними обновлениями безопасности.
Важно заметить, что в обновлении указано: «Это обновление системы безопасности обнаруживает попытки анонимного подключения в LSARPC и запрещает их», что оставляет вопрос: все ли работает принудительная атака с использованием аутентифицированного пользователя?
После некоторых тестов, похоже, ответ положительный!
Хотя уязвимость PetitPotam после исправления больше не будет работать без проверки подлинности, ею все равно можно воспользоваться. Например, используя любые учетные данные учетной записи Active Directory для запуска NTLM-аутентификации контроллера домена можно повысить привилегии к администратору домена, если не соблюдать необходимые параметры безопасности (как указано выше, EPA не применяется по умолчанию на серверах AD-CS).
Кроме того, PetitPotam не новейший метод принудительной аутентификации; был выпущен инструмент атаки DFSCoerce, злоупотребляющий протоколом MS-DFSNM для запуска аутентификации контроллера домена.
Улучшение защиты CrowdStrike Identity Protection NTLM Relay Detection
Поскольку авторизованный пользователь все еще может инициировать NTLM-аутентификацию из контроллера домена, вектор атаки ретрансляции NTLM остается актуальным для учетных записей контроллера домена. Вот почему возможность обнаружения ретрансляции NTLM в CrowdStrike Falcon Identity Threat Protection была расширена для обнаружения попыток выполнения NTLM ретрансляции с помощью учетных данных контроллера домена. Преимущество этого обнаружения заключается в том, что оно не привязано ни к одному отдельному методу принудительной аутентификации, но обнаруживает ретрансляционную атаку независимо от того, инициирована она уязвимостью PetitPotam, инструментом DFSCoerce или каким-либо обнаруженным в будущем механизмом принуждения.
Дополнительные смягчающие меры
Хотя исправление является важным шагом для противостояния последним уязвимости ретрансляции NTLM, этого недостаточно, поскольку многие незащищенные типовые параметры оставят ваш домен уязвимым. Рекомендуется выполнить следующие шаги:
- Обеспечьте соблюдение SMB/LDAP и Extended Protection for Authentication (EPA) для всех соответствующих серверов, особенно для серверов AD-CS, являющихся общей целью этой атаки.
- Отслеживайте неудачные/успешные попытки ретрансляции NTLM в вашей доменной сети. Используя расширенные возможности обнаружения CrowdStrike Falcon Identity Threat Protection, клиенты теперь могут получать уведомления об атаках ретрансляции NTLM, использующих учетные записи контроллера домена.
- Отключите NTLM. Поскольку это потенциально опасное изменение, которое требует много времени для большинства рабочих сред, начните с выключения поддержки NTLM на серверах, которые могут стать целью атаки ретрансляции и недостаточно защищены. Например, если вы не можете применить EPA на серверах AD-CS по какой-либо причине, отключите входящий NTLM на этом сервере, чтобы защитить его от релейных атак NTLM.
Надежное решение для защиты конечных устройств и учетных данных обеспечит ваше спокойствие и уверенность в защищенности ценной корпоративной информации. Если вам нужна помощь в подборе и внедрении эффективного решения кибербезопасности, опытные эксперты iIT Distribution помогут вам с этим вопросом. iIT Distribution – это официальный дистрибьютор решений компании CrowdStrike на территории Украины, Казахстана, Грузии и Узбекистана.