Suche

Sprache

Kundenfallstudie: Verhinderung von NTLM-basierter Lateralbewegung mit Silverfort 

29 September 2022

Startseite » Blog » Kundenfallstudie: Verhinderung von NTLM-basierter Lateralbewegung mit Silverfort 

Seit seiner Einführung ist das NTLM-Authentifizierungsprotokoll für seine geringe Widerstandsfähigkeit gegenüber Angreifern berüchtigt, die versuchen, es für böswilligen Zugriff zu kompromittieren. Während NTLM nicht mehr die Standardeinstellung ist Active Directory Obwohl es schon vor langer Zeit in Umgebungen verbreitet wurde und viele Organisationen nun versuchen, die Nutzung einzuschränken oder sogar ganz zu verbieten, wird es immer noch unterstützt und ist weit verbreitet.

In diesem Blogbeitrag fassen wir die NTLM-Sicherheitsrisiken noch einmal zusammen und schauen uns an, wie ein führender Hersteller staatliche Hacker daran hinderte, NTLM-Sicherheitsrisiken auszunutzen seitliche Bewegung mit Silverfort Zugangsrichtlinien.

Inhaltsverzeichnis

  • Kurze Erinnerung: NTLM-Sicherheitslücken
  • Verhindern eines Lateral Movement-Angriffs mit NTLM-Authentifizierungsblock

    • Kurze Erinnerung: NTLM-Sicherheitslücken

    NTLM-Zusammenfassung

    NTLM ist ein Authentifizierungsprotokoll, das das Senden der tatsächlichen Passwörter der Benutzer über die Leitung durch einen verschlüsselten Challenge/Response-Austausch zwischen dem Client und dem Zielserver ersetzt. Die Herausforderung wird aus Daten generiert, die während des Anmeldevorgangs erhalten werden, einschließlich des Domänennamens, des Benutzernamens und eines Einweg-Hashes des Benutzerkennworts. Sobald der Client eine Netzwerkverbindung zum Server herstellt, sendet der Server eine verschlüsselte Anfrage und gewährt oder verweigert den Zugriff basierend auf seiner Antwort.

    Eingebaute NTLM-Schwächen

    NTLM unterliegt bestimmten Schwächen, die es Angreifern erleichtern, es zu kompromittieren:

    1. Schwache Verschlüsselung: Der Mangel an salzen macht das Hash-Passwort äquivalent, wenn Sie also den Hash-Wert vom Server abrufen können, können Sie sich authentifizieren, ohne das tatsächliche Passwort zu kennen. Dies bedeutet, dass ein Angreifer, der einen Hash abrufen kann – es gibt verschiedene Möglichkeiten, ihn aus dem Arbeitsspeicher des Computers zu kopieren – dann leicht auf einen Zielserver zugreifen und sich als tatsächlicher Benutzer ausgeben kann.
    2. Fehlende Überprüfung der Serveridentität: Während der Server die Identität des Clients validiert, gibt es keine entsprechende Validierung der Identität des Servers, was die Möglichkeit eines Man-In-The-Middle (MITM)-Angriffs eröffnet.

    Mangelnder Schutz vor Kompromittierungsszenarien

    Zusätzlich zu diesen Schwächen weist NTLM, wie andere Protokolle auch, auf Active Directory Umgebung, wird nicht unterstützt MFA oder andere Sicherheitsmaßnahmen, die böswillige Authentifizierung erkennen und verhindern können. Wenn also ein Bedrohungsakteur versucht, die von uns beschriebenen Schwachstellen auszunutzen, sind die Chancen, den Angriff abzuwehren, äußerst gering.

    Silverfort's-Schutz für NTLM: MFA- und Sperrzugriffsrichtlinien

    Das Silverfort Einheitlicher Identitätsschutz Die Plattform überwacht und schützt alle Authentifizierungen innerhalb der Umgebung einer Organisation. Silverfort ist die erste und einzige Lösung, die MFA- und bedingte Zugriffsrichtlinien für MFA-Authentifizierungen erzwingen kann. Verwenden Silverfort, Identitäts- und Sicherheitsteams können NTLM-Authentifizierungen überwachen und steuern und die Flexibilität erhalten, basierend auf betrieblichen Überlegungen zu entscheiden, ob sie sie mit adaptiven Richtlinien schützen oder die Verwendung von NTLM insgesamt verbieten möchten.

    Verhindern eines Lateral Movement-Angriffs mit NTLM-Authentifizierungsblock

    Im April 2022 wird ein führender Hersteller und einer von Silverfort's Kunden wurde von nationalstaatlichen Akteuren angegriffen. Das ursprüngliche Ziel der Angreifer war die Fabrik eines anderen Unternehmens, und ihr erster Schritt bestand darin, dessen Wi-Fi-Netzwerk zu kompromittieren. Dabei verschafften sie sich auch Zugriff auf die Laptops einiger Mitarbeiter des Herstellers, die damals das Werk besuchten. Die Angreifer erkannten, dass diese Laptops einem anderen Unternehmen gehörten, und lenkten ihren Angriff um, indem sie versuchten, die kompromittierten Laptops als Brückenkopf in das interne Netzwerk des Herstellers zu verwenden. Dabei kompromittieren die Angreifer die Zugangsdaten eines Mitarbeiters und versuchen, sich über NTLM bei Servern im Netzwerk des Herstellers anzumelden.  

    Vor dem Angriff hatte das Unternehmen a konfiguriert Silverfort Richtlinie zum Verhindern von NTLM-Anmeldungen von Arbeitsstationen an Server in seiner Domänenumgebung. Diese Zugriffsrichtlinie verhinderte erfolgreich, dass die Angreifer die von ihnen kompromittierten Zugangsdaten nutzten, um sich lateral innerhalb der Umgebung des Herstellers zu bewegen, und blockierte schließlich den Angriff vollständig.

    Um mehr über diesen versuchten Angriff zu erfahren und Silverfort's proaktive Erkennung und Abwehr von Bedrohungen, laden Sie diese Kundenerfolgs-Fallstudie herunter hier.

    Bereit für eine Demo?
    Heute anmelden.

    Kürzliche Posts

    May 6th, 2024

    Verwendung von MITM zur Umgehung des FIDO2-Phishing-Schutzes

    2. Mai 2024

    Silverfort stellt Forschungsergebnisse auf der RSA 2024 vor: Verwendung von MITM zur Umgehung moderner Authentifizierungsmethoden für SSO

    April 24th, 2024

    5 Möglichkeiten, Ihre AD-Hygiene zu verbessern Silverfort  

    March 26th, 2024

    Der Identity Underground Report: Tiefer Einblick in die kritischsten Sicherheitslücken im Identitätsbereich  
    mehr

    Folgen Sie uns

    Stoppen Sie Identitätsbedrohungen jetzt