Η νέα δυνατότητα των Windows 11 αποκλείει επιθέσεις που βασίζονται σε NTLM μέσω SMB
Η Microsoft
πρόσθεσε μια νέα δυνατότητα ασφαλείας στα Windows 11 που επιτρέπει στους διαχειριστές να αποκλείουν το NTLM έναντι του SMB για να αποτρέπουν επιθέσεις pass-the-hash, NTLM relay ή σπάσιμο κωδικού πρόσβασης.
Αυτό θα τροποποιήσει την προσέγγιση παλαιού τύπου όπου οι διαπραγματεύσεις ελέγχου ταυτότητας Kerberos και NTLM (δηλαδή LM, NTLM και NTLMv2) με διακομιστές προορισμού θα τροφοδοτούνται από
Windows SPNEGO
.
Κατά τη σύνδεση σε ένα απομακρυσμένο κοινόχρηστο στοιχείο SMB, τα Windows θα προσπαθήσουν να διαπραγματευτούν τον έλεγχο ταυτότητας με τον απομακρυσμένο υπολογιστή εκτελώντας μια απόκριση πρόκλησης NTLM.
Ωστόσο, αυτή η απόκριση πρόκλησης NTLM θα περιέχει τον κατακερματισμένο κωδικό πρόσβασης του συνδεδεμένου χρήστη που προσπαθεί να ανοίξει το κοινόχρηστο στοιχείο SMB, το οποίο στη συνέχεια μπορεί να καταγραφεί από τον διακομιστή που φιλοξενεί το κοινόχρηστο στοιχείο.
Αυτοί οι κατακερματισμοί μπορούν στη συνέχεια να σπάσουν για να ανακτηθεί ο κωδικός πρόσβασης απλού κειμένου ή να χρησιμοποιηθούν σε επιθέσεις NTLM Relay και pass-the-hash για να συνδεθείτε ως χρήστης.
Αυτή η νέα δυνατότητα επιτρέπει σε έναν διαχειριστή να αποκλείει το εξερχόμενο NTLM μέσω SMB, αποτρέποντας την αποστολή του κατακερματισμένου κωδικού πρόσβασης ενός χρήστη σε έναν απομακρυσμένο διακομιστή, αποτρέποντας αποτελεσματικά αυτούς τους τύπους επιθέσεων.
Πολιτική ομάδας
αποκλεισμού SMB NTLM (Microsoft)
«Με αυτή τη νέα επιλογή, ένας διαχειριστής μπορεί σκόπιμα να αποκλείσει τα Windows από το να προσφέρουν NTLM μέσω SMB», εξήγησαν οι Amanda Langowski και Brandon LeBlanc της Microsoft.
“Ένας εισβολέας που εξαπατά έναν χρήστη ή μια εφαρμογή για να στείλει απαντήσεις πρόκλησης NTLM σε έναν κακόβουλο διακομιστή δεν θα λαμβάνει πλέον δεδομένα NTLM και δεν θα μπορεί να κάνει ωμή βία, να σπάσει ή να περάσει έναν κωδικό πρόσβασης, καθώς δεν θα σταλούν ποτέ μέσω του δικτύου.”
Αυτό το πρόσθετο επίπεδο ασφαλείας εξαλείφει την ανάγκη για πλήρη τερματισμό της χρήσης NTLM εντός του λειτουργικού συστήματος.
Ξεκινώντας με το Windows 11 Insider Preview Build 25951, οι διαχειριστές μπορούν να ρυθμίσουν τα Windows ώστε να αποκλείουν την αποστολή δεδομένων NTLM μέσω SMB σε απομακρυσμένες εξερχόμενες συνδέσεις
χρησιμοποιώντας την πολιτική ομάδας και το PowerShell
.
Μπορούν επίσης να απενεργοποιήσουν εντελώς τη χρήση NTLM σε συνδέσεις SMB
χρησιμοποιώντας NET USE και PowerShell
.
Μια άλλη νέα διαθέσιμη επιλογή με την έναρξη αυτής της έκδοσης είναι η διαχείριση διαλέκτων SMB, η οποία επιτρέπει στους διαχειριστές να αποκλείουν τη σύνδεση παλαιότερων και μη ασφαλών συσκευών Windows απενεργοποιώντας τη χρήση παλαιότερων πρωτοκόλλων SMB στον οργανισμό τους.”
“Μια μεταγενέστερη έκδοση του Windows Insider θα επιτρέψει στους διαχειριστές να ελέγχουν τον αποκλεισμό SMB NTLM σε συγκεκριμένους διακομιστές με λίστα επιτρεπόμενων”, πρόσθεσε ο Ned Pyle, Principal Program Manager στην ομάδα μηχανικών
Windows Server
,
σε ξεχωριστή ανάρτηση ιστολογίου
.
“Ένας πελάτης θα μπορεί να καθορίσει διακομιστές SMB που υποστηρίζουν μόνο NTLM – είτε ως μέλη εκτός τομέα είτε ως προϊόντα τρίτων – και να επιτρέπουν τη σύνδεση.”
Διαχείριση διαλέκτων SMB (Microsoft)
Απαίτηση υπογραφής SMB για αποκλεισμό επιθέσεων
Με την κυκλοφορία του Windows 11 Insider Preview Build 25381 στο Canary Channel, το Redmond άρχισε επίσης να απαιτεί την υπογραφή SMB (γνωστή και ως υπογραφές ασφαλείας) από προεπιλογή για όλες τις συνδέσεις για προστασία από επιθέσεις αναμετάδοσης NTLM.
Σε αυτές τις επιθέσεις, κακόβουλοι παράγοντες αναγκάζουν τις συσκευές δικτύου, συμπεριλαμβανομένων των ελεγκτών τομέα, να ελέγχουν την ταυτότητα έναντι των διακομιστών που βρίσκονται υπό τον έλεγχό τους για να πάρουν τον πλήρη έλεγχο του τομέα των Windows πλαστοπροσωπώντας τους.
Η υπογραφή SMB είναι ένας μηχανισμός ασφαλείας SMB που διαδραματίζει κρίσιμο ρόλο στην αποτροπή κακόβουλων αιτημάτων ελέγχου ταυτότητας
επα
ληθεύοντας την ταυτότητα του αποστολέα και του παραλήπτη μέσω της χρήσης ενσωματωμένων υπογραφών και κατακερματισμών που προσαρτώνται σε κάθε μήνυμα.
Ήταν διαθέσιμο ξεκινώντας από τα Windows 98 και 2000 και έχει ενημερωθεί στα Windows 11 και
Windows Server 2022
για να βελτιώσει την προστασία και την απόδοση επιταχύνοντας σημαντικά τις ταχύτητες κρυπτογράφησης δεδομένων.
Αυτές οι ενημερώσεις αποτελούν μέρος μιας ευρύτερης πρωτοβουλίας για την ενίσχυση της ασφάλειας των Windows και των Windows Server, όπως τονίστηκε από προηγούμενες ανακοινώσεις που έγιναν το 2022.
Τον Απρίλιο του 2022, η Microsoft έκανε ένα σημαντικό βήμα όταν ανακοίνωσε την τελική φάση της απενεργοποίησης του πρωτοκόλλου κοινής χρήσης αρχείων SMB1 τριών δεκαετιών στα Windows για Windows 11 Home Insiders.
Συνεχίζοντας αυτή την τροχιά, η εταιρεία αποκάλυψε ενισχυμένα μέτρα άμυνας έναντι επιθέσεων ωμής βίας πέντε μήνες αργότερα, εισάγοντας έναν περιοριστή ρυθμού ελέγχου ταυτότητας SMB που έχει σχεδιαστεί για να μετριάσει τον αντίκτυπο των ανεπιτυχών προσπαθειών ελέγχου ταυτότητας εισερχόμενου NTLM.
