В середине 2024 года NTLM, протокол аутентификации Windows, официально объявлен устаревшим, и Microsoft всячески рекомендует использовать его улучшенную версию NTLMv2. Тем не менее, даже при строгих настройках Active Directory Group Policy, призванных блокировать небезопасный NTLMv1, системы Windows могут оставаться уязвимыми. Исследование, проведенное компанией Silverfort, выявило серьезную брешь в безопасности, позволяющую обойти запрет NTLMv1.
Основная проблема заключается в ошибочной конфигурации приложений, взаимодействующих с протоколом Netlogon Remote Protocol (MS-NRPC). Этот протокол является ключевым элементом доменной аутентификации Windows. Исследователи, включая Дора Сегала, обнаружили, что специальная структура данных
Суть обхода заключается в том, что атакующие могут заставить жертву аутентифицироваться на произвольном конечной точке, а затем перенаправить учетные данные на уязвимую цель. Это позволяет им осуществлять так называемые релейные атаки, получая доступ к конфиденциальной информации и выполняя вредоносные действия. Групповая политика, хотя и может предотвратить аутентификацию NTLMv1 на контроллерах домена, не способна остановить запросы через
Учитывая широкое распространение протокола NTLM, последствия этой уязвимости могут быть крайне серьезными. Организации, полагающие, что защищены благодаря настройкам групповой политики, фактически могут быть уязвимы для атак с использованием устаревшего NTLMv1. Это создает ложное чувство безопасности и повышает риск успешных проникновений в сеть.
Для защиты от этой уязвимости рекомендуется предпринять ряд мер. Во-первых, необходимо включить ведение журналов аудита для аутентификации NTLM. Это поможет выявить приложения, которые запрашивают NTLMv1. Во-вторых, следует своевременно устанавливать обновления системы и приложений. Например, Foxit Software выпустила обновление 2024.4 (Windows), которое устраняет уязвимость.
В Windows 11, версии 24H2 и Windows Server 2025, NTLMv1 полностью исключен, что является важным шагом в направлении повышения безопасности. Однако до выхода этих обновлений, и особенно в более ранних версиях Windows, уязвимость к обходу NTLMv1 остается актуальной. Разработчикам и администраторам следует крайне серьезно отнестись к этой проблеме.
Интересно отметить, что Alessandro Iandoli, исследователь из HN Security, ранее демонстрировал обход защитных механизмов в Windows 11. Это показывает, что даже в новейших системах могут обнаруживаться неожиданные уязвимости. В случае NTLMv1 обход может быть осуществлен через принуждение жертвы к аутентификации и перенаправления этих данных на уязвимый узел.
Ошибочно полагать, что включение защиты NTLMv2 в настройках групповой политики гарантирует защиту от всех рисков, связанных с NTLMv1. Значение
Помимо конкретных мер, таких как включение аудита и установка обновлений, крайне важно обучать пользователей и администраторов по вопросам безопасности. Понимание механизмов работы NTLM и потенциальных угроз помогает более эффективно противостоять атакам. Недостаточно просто полагаться на стандартные настройки безопасности – необходимо постоянное внимание к потенциальным уязвимостям.
Использование уязвимостей NTLMv1 может быть связано с ошибкой аутентификации, о чем сигнализирует код ошибки
В заключение, необходимо подчеркнуть, что безопасность системы Windows требует комплексного подхода, включающего не только обновления и настройки, но и глубокое понимание механизмов работы протоколов аутентификации. Игнорирование даже устаревших механизмов, таких как NTLMv1, может привести к серьезным последствиям. Необходимо быть бдительными и своевременно устранять потенциальные уязвимости.
Изображение носит иллюстративный характер
Основная проблема заключается в ошибочной конфигурации приложений, взаимодействующих с протоколом Netlogon Remote Protocol (MS-NRPC). Этот протокол является ключевым элементом доменной аутентификации Windows. Исследователи, включая Дора Сегала, обнаружили, что специальная структура данных
NETLOGON_LOGON_IDENTITY_INFO в MS-NRPC содержит поле ParameterControl. Именно это поле позволяет приложениям запрашивать NTLMv1, даже если групповая политика требует использования только NTLMv2. Таким образом, администраторы, уверенные в том, что NTLMv1 заблокирован, могут ошибаться, подвергая свои сети серьезному риску. Суть обхода заключается в том, что атакующие могут заставить жертву аутентифицироваться на произвольном конечной точке, а затем перенаправить учетные данные на уязвимую цель. Это позволяет им осуществлять так называемые релейные атаки, получая доступ к конфиденциальной информации и выполняя вредоносные действия. Групповая политика, хотя и может предотвратить аутентификацию NTLMv1 на контроллерах домена, не способна остановить запросы через
ParameterControl. Этот механизм буквально игнорирует настройки безопасности, установленные на уровне домена. Учитывая широкое распространение протокола NTLM, последствия этой уязвимости могут быть крайне серьезными. Организации, полагающие, что защищены благодаря настройкам групповой политики, фактически могут быть уязвимы для атак с использованием устаревшего NTLMv1. Это создает ложное чувство безопасности и повышает риск успешных проникновений в сеть.
Для защиты от этой уязвимости рекомендуется предпринять ряд мер. Во-первых, необходимо включить ведение журналов аудита для аутентификации NTLM. Это поможет выявить приложения, которые запрашивают NTLMv1. Во-вторых, следует своевременно устанавливать обновления системы и приложений. Например, Foxit Software выпустила обновление 2024.4 (Windows), которое устраняет уязвимость.
В Windows 11, версии 24H2 и Windows Server 2025, NTLMv1 полностью исключен, что является важным шагом в направлении повышения безопасности. Однако до выхода этих обновлений, и особенно в более ранних версиях Windows, уязвимость к обходу NTLMv1 остается актуальной. Разработчикам и администраторам следует крайне серьезно отнестись к этой проблеме.
Интересно отметить, что Alessandro Iandoli, исследователь из HN Security, ранее демонстрировал обход защитных механизмов в Windows 11. Это показывает, что даже в новейших системах могут обнаруживаться неожиданные уязвимости. В случае NTLMv1 обход может быть осуществлен через принуждение жертвы к аутентификации и перенаправления этих данных на уязвимый узел.
Ошибочно полагать, что включение защиты NTLMv2 в настройках групповой политики гарантирует защиту от всех рисков, связанных с NTLMv1. Значение
ParameterControl может переопределить эти настройки, позволяя приложениям использовать NTLMv1, даже если он отключен на уровне домена. Эта ситуация подчеркивает необходимость постоянного мониторинга и обновления систем безопасности. Помимо конкретных мер, таких как включение аудита и установка обновлений, крайне важно обучать пользователей и администраторов по вопросам безопасности. Понимание механизмов работы NTLM и потенциальных угроз помогает более эффективно противостоять атакам. Недостаточно просто полагаться на стандартные настройки безопасности – необходимо постоянное внимание к потенциальным уязвимостям.
Использование уязвимостей NTLMv1 может быть связано с ошибкой аутентификации, о чем сигнализирует код ошибки
0xC000006A. За этой ошибкой может скрываться попытка атаки с использованием устаревшего протокола, обошедшего меры безопасности. Важно не игнорировать такие ошибки, а проводить их анализ. В заключение, необходимо подчеркнуть, что безопасность системы Windows требует комплексного подхода, включающего не только обновления и настройки, но и глубокое понимание механизмов работы протоколов аутентификации. Игнорирование даже устаревших механизмов, таких как NTLMv1, может привести к серьезным последствиям. Необходимо быть бдительными и своевременно устранять потенциальные уязвимости.
