Rechercher

Langue

Étude de cas client : Prévenir le mouvement latéral basé sur NTLM et Kerberos 

Le 29 septembre 2022

Accueil » blog » Étude de cas client : Prévenir le mouvement latéral basé sur NTLM et Kerberos 

Depuis sa création, le protocole d'authentification NTLM est tristement célèbre pour sa faible résilience contre les attaquants qui cherchent à le compromettre pour un accès malveillant. Alors que NTLM a cessé d'être la valeur par défaut dans Active Directory il y a longtemps et de nombreuses organisations s'efforcent maintenant d'en restreindre l'utilisation ou même de l'interdire complètement, il est toujours pris en charge et répandu.

Dans cet article de blog, nous récapitulerons les risques de sécurité NTLM et verrons comment un fabricant leader a empêché les pirates informatiques d'États-nations de l'exploiter pour mouvement latéral avec une Silverfort Politique d'accès.

Table des matières

  • Petit rappel : Lacunes de sécurité NTLM
  • Empêcher une attaque par mouvement latéral avec le bloc d'authentification NTLM

    • Petit rappel : Lacunes de sécurité NTLM

    Récapitulatif NTLM

    NTLM est un protocole d'authentification qui remplace l'envoi des mots de passe réels des utilisateurs sur le réseau par un échange défi/réponse crypté entre le client et le serveur de destination. Le défi est généré à partir des données obtenues lors du processus de connexion, y compris le nom de domaine, le nom d'utilisateur et un hachage unidirectionnel du mot de passe de l'utilisateur. Une fois que le client a établi une connexion réseau avec le serveur, le serveur envoie un défi chiffré et accorde ou refuse l'accès en fonction de sa réponse.

    Faiblesses intégrées de NTLM

    NTLM est sujet à certaines faiblesses qui permettent aux pirates de le compromettre plus facilement :

    1. Cryptage faible : Le manque de salage rend le mot de passe de hachage équivalent, donc si vous pouvez récupérer la valeur de hachage du serveur, vous pourrez vous authentifier sans connaître le mot de passe réel. Cela signifie qu'un attaquant qui peut récupérer un hachage - il existe différentes façons de le vider de la mémoire de la machine - peut alors facilement accéder à un serveur cible et se faire passer pour l'utilisateur réel.
    2. Absence de validation de l'identité du serveur: Alors que le serveur valide l'identité du client, il n'y a pas de validation correspondante de l'identité du serveur, ce qui ouvre la possibilité d'une attaque Man-In-The-Middle (MITM).

    Absence de protection contre les scénarios de compromis

    En plus de ces faiblesses, NTLM, comme d'autres protocoles du Active Directory environnement, ne prend pas en charge MFA ou toute autre mesure de sécurité capable de détecter et d'empêcher une authentification malveillante. Ainsi, si un acteur menaçant tente d'exploiter les faiblesses que nous avons décrites, les chances de bloquer l'attaque sont extrêmement faibles.

    SilverfortProtection de NTLM : MFA et stratégies de blocage d'accès

    Les Silverfort Sécurité Protection d'identité La plate-forme surveille et protège toutes les authentifications au sein de l'environnement d'une organisation. Silverfort est la première et la seule solution capable d'appliquer les politiques MFA et d'accès conditionnel aux authentifications MFA. En utilisant Silverfort, les équipes d'identité et de sécurité peuvent surveiller et régir les authentifications NTLM et gagner en flexibilité pour décider, en fonction de considérations opérationnelles, de les protéger avec des stratégies adaptatives ou d'interdire complètement l'utilisation de NTLM.

    Empêcher une attaque par mouvement latéral avec le bloc d'authentification NTLM

    En avril 2022, un fabricant leader et l'un des SilverfortLes clients de ont été attaqués par des acteurs de l'État-nation. La cible initiale des attaquants était l'usine d'une autre entreprise, et leur première étape a été de compromettre son réseau Wi-Fi. Ce faisant, ils ont également eu accès aux ordinateurs portables de plusieurs employés du fabricant qui visitaient l'usine à l'époque. Les attaquants ont réalisé que ces ordinateurs portables appartenaient à une autre société et ont orienté leur attaque, tentant d'utiliser les ordinateurs portables compromis comme tête de pont dans le réseau interne du fabricant. Au cours de ces tentatives, les attaquants ont compromis l'une des informations d'identification des employés et ont tenté de se connecter aux serveurs du réseau du fabricant via NTLM.  

    Avant l'attaque, l'entreprise avait configuré un Silverfort stratégie pour empêcher toute connexion NTLM des postes de travail aux serveurs dans son environnement de domaine. Cette politique d'accès a réussi à empêcher les attaquants d'utiliser les informations d'identification qu'ils avaient compromises pour se déplacer latéralement dans l'environnement du fabricant, bloquant finalement l'attaque.

    Pour en savoir plus sur cette tentative d'attentat et Silverfortde détection et de prévention proactives des menaces, téléchargez cette étude de cas de réussite client ici.

    Prêt pour une démo ?
    Inscrivez-vous aujourd'hui.

    Messages récents

    6 Mai 2024

    Utiliser MITM pour contourner la protection anti-hameçonnage FIDO2

    2 mai, 2024

    Silverfort dévoilera une recherche au RSA 2024 : Utiliser MITM pour contourner les méthodes d'authentification modernes vers le SSO

    24 avril 2024

    5 façons d'améliorer votre hygiène AD avec Silverfort  

    26 mars 2024

    Le rapport Identity Underground : aperçu approfondi des failles de sécurité des identités les plus critiques  
    Voir plus

    Suivez-nous

    Arrêtez les menaces sur l'identité