Buscar

Idioma

Estudio de caso de cliente: Prevención del movimiento lateral basado en NTLM con Silverfort 

29 de septiembre de 2022.

Inicio » Blog » Estudio de caso de cliente: Prevención del movimiento lateral basado en NTLM con Silverfort 

Desde sus inicios, el protocolo de autenticación NTLM ha sido famoso por su baja resistencia contra atacantes que buscan comprometerlo para acceso malicioso. Si bien NTLM dejó de ser el sistema predeterminado en Active Directory entornos hace mucho tiempo y muchas organizaciones ahora se esfuerzan por restringir su uso o incluso prohibirlo por completo, todavía es compatible y prevalece.

En esta publicación de blog, recapitularemos los riesgos de seguridad de NTLM y veremos cómo un fabricante líder evitó que los piratas informáticos de estados nacionales lo aprovecharan para movimiento lateral con un Silverfort Política de acceso.

Tabla de contenido

  • Breve recordatorio: brechas de seguridad de NTLM
  • Prevención de un ataque de movimiento lateral con el bloque de autenticación NTLM

    • Breve recordatorio: brechas de seguridad de NTLM

    Resumen de NTLM

    NTLM es un protocolo de autenticación que reemplaza el envío de contraseñas reales de los usuarios por cable con un intercambio cifrado de desafío/respuesta entre el cliente y el servidor de destino. El desafío se genera a partir de datos obtenidos durante el proceso de inicio de sesión, incluido el nombre de dominio, el nombre de usuario y un hash unidireccional de la contraseña del usuario. Una vez que el cliente establece una conexión de red con el servidor, el servidor envía un desafío cifrado y concede o deniega el acceso según su respuesta.

    Debilidades integradas de NTLM

    NTLM está sujeto a ciertas debilidades que facilitan que los actores de amenazas lo comprometan:

    1. Cifrado débil: La falta de salazón hace que la contraseña hash sea equivalente, por lo que si puede obtener el valor hash del servidor, podrá autenticarse sin conocer la contraseña real. Esto significa que un atacante que puede recuperar un hash (hay varias formas de volcarlo de la memoria de la máquina) puede acceder fácilmente a un servidor de destino y hacerse pasar por el usuario real.
    2. Falta de validación de identidad del servidor.: Si bien el servidor valida la identidad del cliente, no existe una validación correspondiente de la identidad del servidor, lo que abre la posibilidad de un ataque Man-In-The-Middle (MITM).

    Falta de protección contra escenarios de compromiso

    Además de estas debilidades, NTLM, al igual que otros protocolos en el Active Directory medio ambiente, no es compatible MFA o cualquier otra medida de seguridad que pueda detectar y prevenir la autenticación maliciosa. Por lo tanto, si un actor de amenazas intenta aprovechar las debilidades que hemos descrito, las posibilidades de bloquear el ataque son extremadamente bajas.

    SilverfortProtección para NTLM: MFA y políticas de acceso en bloque

    El Silverfort unificada Protección de Identidad La plataforma monitorea y protege todas las autenticaciones dentro del entorno de una organización. Silverfort es la primera y única solución que puede aplicar MFA y políticas de acceso condicional en las autenticaciones MFA. Usando Silverfort, los equipos de identidad y seguridad pueden monitorear y gobernar las autenticaciones NTLM y obtener la flexibilidad para decidir, en función de consideraciones operativas, si protegerlas con políticas adaptativas o prohibir el uso de NTLM por completo.

    Prevención de un ataque de movimiento lateral con el bloque de autenticación NTLM

    En abril de 2022, un fabricante líder y uno de SilverfortLos clientes de Rusia fueron atacados por actores del Estado-nación. El objetivo inicial de los atacantes era la fábrica de otra empresa y su primer paso fue comprometer su red Wi-Fi. De esta manera, también obtuvieron acceso a los ordenadores portátiles de varios empleados del fabricante que se encontraban de visita en la fábrica en ese momento. Los atacantes se dieron cuenta de que estas computadoras portátiles pertenecían a una empresa diferente y cambiaron su ataque, intentando utilizar las computadoras portátiles comprometidas como cabeza de puente hacia la red interna del fabricante. En el curso de estos intentos, los atacantes vulneraron las credenciales de uno de los empleados e intentaron iniciar sesión en los servidores dentro de la red del fabricante a través de NTLM.  

    Antes del ataque, la empresa había configurado un Silverfort política para evitar cualquier inicio de sesión NTLM desde estaciones de trabajo a servidores en su entorno de dominio. Esta política de acceso impidió con éxito que los atacantes usaran las credenciales que habían comprometido para moverse lateralmente dentro del entorno del fabricante, bloqueando finalmente el ataque por completo.

    Para obtener más información sobre este intento de ataque y SilverfortDetección y prevención proactiva de amenazas, descargue este estudio de caso de éxito del cliente esta página.

    ¿Listo para una demostración?
    Regístrate hoy.

    Mensajes recientes

    6 de mayo 2024.

    Uso de MITM para evitar la protección resistente al phishing de FIDO2

    Puede 2nd, 2024

    Silverfort Presentará una investigación en RSA 2024: uso de MITM para omitir los métodos de autenticación modernos a SSO

    24 de abril de 2024

    Cinco formas de mejorar la higiene de su AD con Silverfort  

    Marzo 26th, 2024

    The Identity Underground Report: visión profunda de las brechas de seguridad de identidad más críticas  
    Ver más

    Síguenos en:

    Detenga las amenazas a la identidad ahora