Выявление и смягчение атак NTLM-ретрансляции, нацеленных на контроллеры домена Microsoft News
02.11.2023
Cisco acquires Splunk, but how do you convince Splunk customers that Cisco has advantages
01.11.2023
CrowdStrike provides 100% coverage according to the MITRE Engenuity ATT&CK® Evaluations: round 5
31.10.2023
Top 20 Shocking Data Breach Statistics for 2023
06.09.2023
Adversaries Can “Log In with Microsoft” through the nOAuth Azure Active Directory Vulnerability
06.09.2023
iIT Distribution is the official distributor of LogRhythm!
31.08.2023
Instant replication with NAKIVO Backup & Replication v10.10 Beta
03.08.2023
Effective communication: Email vs. Instant Messaging?
25.07.2023
Infinidat Expands Support for Hybrid Cloud Storage Deployments with InfuzeOS Cloud Edition
14.07.2023
Falcon Insight for ChromeOS: The Industry’s First Native XDR Offering for ChromeOS
03.06.2023
Opening new horizons: iIT Distribution is the official distributor of Gatewatcher
13.05.2023
Another revolution in cybersecurity from CrowdStrike: top 5 important things to know about Managed XDR (MXDR)
09.05.2023
GTB Technologies is the best solution in the DLP industry
04.04.2023
CrowdStrike Falcon Platform Detects and Prevents Active Intrusion Campaign Targeting 3CXDesktopApp Customers
24.03.2023
Labyrinth Deception Platform v2.0.51: Release notes
23.03.2023
SIEM vs Log Management Systems: What you need to know before choosing
15.03.2023
CrowdStrike Falcon Named the Winner of the 2022 AV-TEST Award for Best MacOS Security Product
10.03.2023
CrowdStrike 2023 Global Threat Report: Resilient Businesses Fight Relentless Adversaries
10.03.2023
Threema Work App Update: Encrypted Group Calls Are Now Available on Android Devices
28.02.2023
CrowdStrike Ranked #1 in the IDC Worldwide Endpoint Security Market Shares Report for Third Time in a Row
21.02.2023
Picus Red Report 2023: The Top 10 Most Prevalent MITRE ATT&CK Techniques Used by Attackers
14.02.2023
On leadership in the sphere of high-end unified storage: An exclusive interview with Phil Bullinger, CEO of Infinidat
11.02.2023
Securing PostgreSQL from Cryptojacking Campaigns in Kubernetes
30.01.2023
What's New in NAKIVO Backup & Replication v10.8: Release Overview
16.01.2023
Success Story: Georgian Bank Achieves 100% Backup Success Rate with NAKIVO
12.01.2023
CrowdStrike Named a Leader in Frost & Sullivan’s 2022 Frost Radar for Cyber Threat Intelligence
12.12.2022
DDoS Attack Prevention and DDoS Protection Best Practices
21.11.2022
How Hackers Can Bypass Multi-Factor Authentication
08.11.2022
CrowdStrike Achieves Red Hat OpenShift Certification: Streamlining Visibility and Automating Protection for OpenShift
03.11.2022
Infinidat Recognized as a Leader in Gartner Magic Quadrant for Primary Storage – 5th Year in a Row
19.10.2022
New version of NetBrain Release 11: the key to reducing the cost of NetOps
13.10.2022
With security revenue surging, CrowdStrike wants to be a broader enterprise IT player
05.10.2022
CrowdStrike Announced the Acquisition of Reposify to Bolster Visibility and Reduce Risk Exposure of External Assets
22.09.2022
Kubernetes против Docker: в чем между ними разница?
16.09.2022
Infinidat расширяет функции NVMe/TCP для сред VMware
15.09.2022
Новые возможности InfiniBox от Infinidat: vVols репликация для VMware сред
02.09.2022
Индикаторы атак на основе искусственного интеллекта позволяют максимально быстро прогнозировать и останавливать угрозы
03.08.2022
Истории с Dark Web: Отслеживание подпольной экономики eCrime улучшает эффективность киберзащиты
22.07.2022
Развитие ботнетов и DDoS-атак
15.07.2022
Lookout обнаружила шпионское ПО для Android, развернутое в Казахстане
11.07.2022
Выявление и смягчение атак NTLM-ретрансляции, нацеленных на контроллеры домена Microsoft
20.06.2022
Что такое демократизация данных?
07.06.2022
Неизменные резервные копии: что вам нужно знать, чтобы защитить свои данные
22.05.2022
Украинские Киберактивисты Использовали Скомпрометированные Docker Honeypots Для Антироссийских Dos-Атак
06.05.2022
ЧТО НОВОГО В LABYRINTH DECEPTION PLATFORM: РЕЛИЗ 2.0.32
22.04.2022
PALO ALTO NETWORKS проинформировала об уязвимостях, которые могут разрешить злоумышленникам отключить платформу CORTEX XDR
15.04.2022
INSPUR ВТОРОЙ ГОД ПОДРЯД СТАНОВИТСЯ ОБРАЗЦОВЫМ ПОСТАВЩИКОМ CLOUD-OPTIMIZED ОБОРУДОВАНИЯ ПО ВЕРСИИ GARTNER HYPE CYCLE
08.10.2020
Intelligent IT Distribution взяла участь у Третьому щорічному Міжнародному Форумі «Кібербезпека - Захистимо Бізнес, Захистимо Держава»
29.09.2020
iITD - партнер форуму “Кібербезпека - захистимо бізнес, захистимо державу” 2020
24.09.2020
Компанія IIT Distribution отримала статус дистриб’ютора рішень NetBrain Technologies на території України
28.08.2020
Fal.Con 2020 від CrowdStrike
25.08.2020
Дотримання норм страхування кіберризиків
25.08.2020
Автоматично блокуйте скомпрометовані облікові записи з Lepide Active Directory Self Service 20.1
25.08.2020
Компанія Cossack Labs запрошує відвідати NoNameCon
22.07.2020
Підписання дистриб’юторської угоди з компанією Safe-T
21.07.2020
Міжнародна конференція: "Online Banking - Час інновацій!"
18.06.2020
Глобальний звіт про кіберзагрози 2020
11.06.2020
Четвер, 25 червня 2020 року. Не пропустіть!
05.05.2020
Анонс: нова версія Acra Enterprise забезпечує підвищену гнучкість для високонавантажених систем
13.04.2020
Lepide Remote Worker Monitoring Pack - легка платформа безпеки, яка гарантує негайний захист даних бізнесу протягом непередбаченого періоду віддаленої роботи.
12.04.2020
Забезпечення кібербезпеки для віддалених користувачів
08.04.2020
Labyrinth Technologies пропонує скористатися спеціальною пропозицією - ліцензія на 12 місяців за ціною 6 місяців.
07.04.2020
«CrowdStrike: дистанційна робота та ІТ-безпеку за часів кризи - скорочена ліцензійна програма на 3-6 місяців».
23.03.2020
Компанія iIT Distribution отримала статус дистриб’ютора рішень RedSeal Networks на території України.
23.03.2020
Компанія iIT Distribution отримала статус дистриб’ютора рішень Lepide на території України.
16.03.2020
Компанія iIT Distribution починає дистрибуцію рішень CrowdStrike на території України.
19.02.2020
20 лютого у Києві відбудеться щорічна конференція CISO DX DAY 2020
18.02.2020
Компанія iIT Distribution отримала статус дистриб’ютора рішень Instana на території України.
17.02.2020
Exabeam Security Intelligence Platform допомагає
Злоумышленники часто эксплуатируют устаревшие протоколы для проникновения в рабочую среду. Но, несмотря на уже известные уязвимости таких протоколов, как Windows NTLM, они широко используются в корпоративных сетях.
Одним из последних серьезных вариаций атаки NTLM-ретрансляції является сочетание уязвимости PetitPotam с ретрансляцией AD-CS, что по наблюдениям исследовательской группы CrowdStrike Identity Protection пользуется высокой популярностью. Хотя последний патч обновлений системы безопасности Microsoft, выпущенный 10 мая 2022 года, содержал поправки для вышеупомянутой уязвимости, проблема полностью не исчезает. Обновление только изменяет требования: если раньше проведение взлома было возможно без аутентификации, то теперь для запуска атаки необходимы данные любой учетной записи Active Directory.
Предлагаем подробно ознакомиться с исправлениями, выяснить какие проблемы остались нерешенными и узнать об усовершенствованиях имеющегося в Falcon Identity Protection средства обнаружения ретрансляции NTLM, способного распознать эксплуатацию уязвимости PetitPotam и подобных методов принудительной аутентификации.
PetitPotam и NTLM ретрансляция
Ретрансляция NTLM всегда являлась популярной техникой атаки. В прошлом наибольшей проблемой было убедить владельца аккаунта пройти аутентификацию на управляемой злоумышленником машине. Но теперь, как оказалось, большую популярность приобретают механизмы принудительной аутентификации конечной точки.
Самыми популярными целями по понятным причинам являются контроллеры домена, поскольку их высокие привилегии делают их выгодной мишенью для атак на ретрансляцию аутентификации. Первый вариант принудительной аутентификации включал службу Print Spooler, тогда как обновленный механизм такой атаки возлагается на MS-EFSRPC протокол (позднее известный как уязвимость PetitPotam). В сочетании с незащищенной по умолчанию конфигурацией Active Directory Certificate Services (AD-CS), которая не поддерживает расширенную защиту проверки подлинности (EPA), это может быть очень опасно, так как может привести к полной компрометации домена за несколько шагов. Злоумышленник может запустить аутентификацию контроллера домена, воспользовавшись уязвимостью PetitPotam и передав ее на сервер AD-CS для запроса сертификата для аккаунта контроллера домена. Используя этот сертификат, злоумышленник может получить TGT для ретранслированной учетной записи контроллера домена и выполнять любые дальнейшие операции, используя его высокие привилегии (например, сброс хешей администратора домена).
Одной из самых серьезных проблем уязвимости PetitPotam к последним обновлениям системы безопасности от Microsoft было то, что злоумышленник мог запустить атаку без проверки подлинности, то есть потребовался лишь сетевой доступ к контроллеру домена. Патч обновлений частично устраняет проблему, то есть атака все еще возможна.
Исправления и оставшиеся проблемы
Обновление безопасности Microsoft, выпущенное во вторник, 10 мая 2022 года, включало в себя частичное исправление уязвимости PetitPotam. Однако это обновление также привело к ошибкам аутентификации для нескольких служб Windows, таких как Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) и Protected Extensible Authentication Protocol (PEAP). По словам Microsoft, «была выявлена проблема, связанная с тем, как контроллер домена обрабатывает соотношение сертификатов с учетными записями компьютера».
В качестве обходного пути корпорация Майкрософт рекомендует вручную сопоставлять сертификаты с учетными записями Active Directory или следовать за KB5014754 для других возможных смягчений. Из-за проблем, вызванных этим патчем, CISA предостерегла от развертывания его на контроллерах домена, что оставило многие организации открытыми для атаки принудительной аутентификации PetitPotam. 19 мая 2022 г. было выпущено дополнительное обновление для устранения сбоев аутентификации, вызванных последними обновлениями безопасности.
Важно заметить, что в обновлении указано: «Это обновление системы безопасности обнаруживает попытки анонимного подключения в LSARPC и запрещает их», что оставляет вопрос: все ли работает принудительная атака с использованием аутентифицированного пользователя?
После некоторых тестов, похоже, ответ положительный!
Хотя уязвимость PetitPotam после исправления больше не будет работать без проверки подлинности, ею все равно можно воспользоваться. Например, используя любые учетные данные учетной записи Active Directory для запуска NTLM-аутентификации контроллера домена можно повысить привилегии к администратору домена, если не соблюдать необходимые параметры безопасности (как указано выше, EPA не применяется по умолчанию на серверах AD-CS).
Кроме того, PetitPotam не новейший метод принудительной аутентификации; был выпущен инструмент атаки DFSCoerce, злоупотребляющий протоколом MS-DFSNM для запуска аутентификации контроллера домена.
Улучшение защиты CrowdStrike Identity Protection NTLM Relay Detection
Поскольку авторизованный пользователь все еще может инициировать NTLM-аутентификацию из контроллера домена, вектор атаки ретрансляции NTLM остается актуальным для учетных записей контроллера домена. Вот почему возможность обнаружения ретрансляции NTLM в CrowdStrike Falcon Identity Threat Protection была расширена для обнаружения попыток выполнения NTLM ретрансляции с помощью учетных данных контроллера домена. Преимущество этого обнаружения заключается в том, что оно не привязано ни к одному отдельному методу принудительной аутентификации, но обнаруживает ретрансляционную атаку независимо от того, инициирована она уязвимостью PetitPotam, инструментом DFSCoerce или каким-либо обнаруженным в будущем механизмом принуждения.
Дополнительные смягчающие меры
Хотя исправление является важным шагом для противостояния последним уязвимости ретрансляции NTLM, этого недостаточно, поскольку многие незащищенные типовые параметры оставят ваш домен уязвимым. Рекомендуется выполнить следующие шаги:
- Обеспечьте соблюдение SMB/LDAP и Extended Protection for Authentication (EPA) для всех соответствующих серверов, особенно для серверов AD-CS, являющихся общей целью этой атаки.
- Отслеживайте неудачные/успешные попытки ретрансляции NTLM в вашей доменной сети. Используя расширенные возможности обнаружения CrowdStrike Falcon Identity Threat Protection, клиенты теперь могут получать уведомления об атаках ретрансляции NTLM, использующих учетные записи контроллера домена.
- Отключите NTLM. Поскольку это потенциально опасное изменение, которое требует много времени для большинства рабочих сред, начните с выключения поддержки NTLM на серверах, которые могут стать целью атаки ретрансляции и недостаточно защищены. Например, если вы не можете применить EPA на серверах AD-CS по какой-либо причине, отключите входящий NTLM на этом сервере, чтобы защитить его от релейных атак NTLM.
Надежное решение для защиты конечных устройств и учетных данных обеспечит ваше спокойствие и уверенность в защищенности ценной корпоративной информации. Если вам нужна помощь в подборе и внедрении эффективного решения кибербезопасности, опытные эксперты iIT Distribution помогут вам с этим вопросом. iIT Distribution – это официальный дистрибьютор решений компании CrowdStrike на территории Украины, Казахстана, Грузии и Узбекистана.
Back