NTLMv1 우회 Active Directory: 기술 심층 분석

Silverfort 영상
11
차례

이 게시물을 공유하기 :

조직 내에서 NTLMv1을 차단했다고 생각하더라도 다시 생각해 보세요. Silverfort최근 연구팀은 공격자가 NTLMv1을 비활성화하도록 설계된 그룹 정책을 우회하여 안전하지 않은 인증이 지속될 수 있음을 발견했습니다. Active Directory 환경.

이러한 주요 결과는 중요한 차이점을 강조합니다. 조직이 시스템을 보호했다고 믿는 경우에도 NTLMv1은 자격 증명 도용을 위한 숨겨진 백도어로 남아 있습니다. 측면 운동, 그리고 특권 확대. 64% 이상의 Active Directory 알려진 취약점에도 불구하고 여전히 NTLM 프로토콜로 인증을 받는 계정이 있기 때문에 NTLMv1은 여전히 ​​심각한 위험을 나타냅니다.

TL; DR 

  • 뉴스 : Silverfort연구팀은 공격자가 새로운 방법을 발견했습니다. 사용 NTLMv1 공격에서, 비활성화하려는 노력에도 불구하고. 온프레미스 애플리케이션에서 잘못된 구성을 사용하면 공격자는 다음을 우회할 수 있습니다. NTLMv1을 중지하도록 설계된 그룹 정책 인증. 
  • 왜 문제 : 의 64의 % Active Directory 사용자 계정 알려진 약점이 있고 Microsoft에서 더 이상 사용되지 않음에도 불구하고 NTLM으로 정기적으로 인증합니다. 많은 조직이 NTLMv1 문제를 해결하려고 시도했습니다. Active Directory 그룹 정책. 그러나 이 정책에는 결함이 있으며 NLTMv1 인증이 지속되도록 허용하여 잘못된 보안 인식을 심어 조직을 위험에 빠뜨린다는 사실을 발견했습니다. 공격자는 NTLMv1이 취약하다는 것을 알고 있습니다. 인증 프로토콜을 준수하고 이를 측면 이동이나 권한 확대의 방법으로 적극적으로 활용합니다. 
  • 영향을 받는 사람: 타사 또는 자체 온프레미스 애플리케이션을 사용하는 모든 조직과 Windows 머신을 엄격하게 사용하지 않는 조직. 예를 들어, Mac 컴퓨터가 은행 애플리케이션에 연결되면 침해될 수 있습니다.  
  • 조직에 미치는 영향: 네트워크에 있는 공격자는 NTLMv1 트래픽을 보고 오프라인으로 사용자 자격 증명을 해독하여 측면 이동의 문을 열 수 있습니다. 권한 에스컬레이션. 저희 POC는 펜싱을 우회하는 애플리케이션을 에뮬레이션하여 이러한 잘못된 구성이 공격자에게 유리하게 작동하는지 검증합니다.
  • 공개 결과: Microsoft 보안 대응 센터(MSRC)에서는 NTLMv1 우회가 취약점이 아니기 때문에, 당사가 공개한 후 1개월 이내에 Windows 11 버전 24H2와 Windows Server 2025부터 NTLMvXNUMX을 완전히 제거한다고 발표하여 보안을 강화하기 위한 사전 조치를 취했습니다.

저희는 최근에 웨비나를 개최하여 사람들에게 연구 내용을 더 자세히 설명했고, 패치가 없는 상황에서 NTLMv1 인증을 완화하는 방법을 보여주었습니다. 이 웨비나를 여기에서 주문형으로 시청할 수 있습니다.

주문형 웨비나

NTLMv1 취약점 공개: 위험 및 완화 전략 Active Directory 환경.

그것을 여기에서보십시오
NTLM 스크린샷 1

요약 및 완화책

NTLM은 역사적 중요성에도 불구하고 상당한 보안적 책임을 나타냅니다. 오래된 암호화 방법, 잘 문서화된 취약점 및 최신 보안 기능의 부족(예: MFA 및 서버 ID 검증)으로 인해 공격자에게 매력적인 대상이 됩니다. NTLMv1 해시는 가로채어 사용할 수 있습니다. 인증 릴레이 공격 또는 사전 공격까지 가해 공격자에게 민감한 시스템에 대한 무단 액세스를 허용합니다. 새로운 NTLM 취약성이 지난 몇 달 동안 공개되었습니다. 제로데이를 포함해서요. 최근 CyberSky가 발견되었습니다 오픈 소스를 제공하는 공격 체인의 일부로 러시아 위협 행위자가 악용하는 NTLM 취약성 스파크 RAT 악성 코드.    

많은 조직에서는 Microsoft의 그룹 정책 메커니즘을 적극적으로 사용합니다. NTLMv1 중지, 이것이 안전하지 않은 NTLMv1 인증으로부터 보호해 줄 것이라고 믿습니다. 그러나 저희의 조사에 따르면 온프레미스 애플리케이션은 NTLMv1을 활성화하도록 구성될 수 있으며, 그룹 정책 LAN 관리자의 가장 높은 인증 수준은 무효화됩니다. Active Directory. 조직에서는 이 그룹 정책을 설정함으로써 옳은 일을 하고 있다고 생각하지만, 여전히 잘못 구성된 애플리케이션에 의해 우회되고 있습니다. 애플리케이션이 NTLMv1로 인증하도록 구성할 수 없을 때까지 문제는 지속될 것입니다.    

At Silverfort, 우리는 고객 기반 전체에서 NTLMv1을 통한 인증을 시도하는 많은 시도를 보았습니다. 우리는 고객과 긴밀히 협력하여 NTLMv1 사용을 매핑하고 감지합니다. 위험 기반 펜싱을 적용하다 손상 위험을 줄이려면. NLTMv1에 대한 패치가 없다면 과거에 NTLMv1을 사용했던 기업은 다음 사항을 고려해야 합니다.  

  1. 도메인의 모든 NTLM 인증에 대한 감사 로그를 활성화합니다.
  2. 첫 번째 인스턴스 또는 대체 인스턴스로 NTLM 인증을 사용하는 모든 애플리케이션을 매핑합니다.
  3. 클라이언트가 NTLMv1 메시지를 사용하도록 요청하는 취약한 애플리케이션을 감지합니다.
  4. 모든 NTLM을 최신 인증 방법으로 보호합니다.

환경에서 NTLM을 완전히 제거하는 방법

Windows 10의 지원 종료로 NTLM 인증이 더 이상 지원되지 않습니다. 이 단계별 가이드를 통해 NTLM 사용을 감지하고 제거하는 방법을 알아보세요.

지금 읽기

NTLMv1이란 무엇이고 왜 문제가 되나요?

NTLM(NT LAN Manager)은 1990년대 초부터 사용되어 온 Microsoft의 레거시 인증 프로토콜입니다. 원래는 Windows 네트워크에서 사용자 신원을 확인하기 위해 설계되었지만, 현재는 대부분 Kerberos, 그것은 많은 곳에 남아 있습니다 Active Directory 이전 버전과의 호환성 및 레거시 시스템으로 인한 환경.

NTLM 기본 사항

이 프로토콜은 간단한 3개 메시지 시퀀스를 통해 작동합니다.

  1. 협상 – 클라이언트는 서버에 인증에 NTLM을 사용하고 싶다고 알립니다.
  2. 과제 – 서버는 사용자의 자격 증명을 사용하여 암호화해야 하는 난수(챌린지)로 응답합니다.
  3. 인증 – 클라이언트는 암호화된 챌린지를 다시 전송합니다. 서버가 저장된 자격 증명과 비교하여 유효성을 검사하면 액세스가 허용됩니다.
NTLM 스크린샷 2

문제는 프로토콜의 첫 번째 버전인 NTLMv1이 오늘날 기준으로는 매우 안전하지 않다는 것입니다. 취약한 DES 암호화에 의존하고, 8바이트 챌린지만 사용하며(무차별 대입 공격이 용이함), MFA 보호나 서버 ID 검증과 같은 최신 보안 제어 기능이 부족합니다. 이러한 취약점으로 인해 NTLMv1 인증은 해시를 가로채고, 재전송 또는 릴레이 공격을 수행하고, 권한을 상승시킬 수 있는 공격자의 주요 표적이 됩니다. Active Directory.

NTLMv1은 더 이상 사용되지 않지만, 많은 온프레미스 애플리케이션, Windows가 아닌 클라이언트, 자체 개발 시스템이 여전히 NTLMv1에 의존하고 있어 조직이 공격에 취약한 상태이기 때문에 계속 사용되고 있습니다.

블로그

레거시에도 불구하고 보안 유지: ID 위험 제어를 위한 IAM 리더 가이드

지금 읽기

NTLMv1과 NTLMv2의 차이점은 무엇입니까?

NTLMv1의 약점을 해결하기 위해 Microsoft는 다음과 같은 여러 가지 개선 사항이 적용된 NTLMv2를 출시했습니다.

  • 강력한 암호화 – NTLMv2는 DES를 RC4로 대체하여 무차별 대입 공격을 더욱 어렵게 만들었습니다.
  • 클라이언트 과제 – 클라이언트에서 두 번째 무작위 도전 과제를 추가하여 엔트로피와 보안을 높였습니다.
  • AV_PAIRS – 고유한 세션 키를 생성하기 위해 추가 세션 데이터(소스, 대상, SPN 등)를 도입하여 재생 또는 릴레이 공격의 위험을 줄였습니다.
NTLM 스크린샷 3

NTLMv2는 NTLMv1보다 훨씬 안전하지만, 여전히 레거시 프로토콜입니다. 기본 MFA 지원과 최신 ID 보호 기능이 부족하기 때문에 궁극적으로 조직은 더 강력한 보안을 위해 Kerberos와 같은 최신 인증 프로토콜로 마이그레이션해야 합니다.

Silverfort 연구: NTLMv1 우회 Active Directory

Microsoft의 그룹 정책 메커니즘은 NTLMv1 인증을 비활성화하도록 설계되었습니다. 관리자는 LMCompatibilityLevel 레지스트리 키를 설정하여 도메인 컨트롤러가 NTLMv1 트래픽을 거부하고 대신 NTLMv2 또는 Kerberos를 요구하도록 기대합니다. 이론적으로는 이렇게 하면 NTLMv1이 제거되어야 합니다. Active Directory 환경.

NTLM 스크린샷 4

그러나 Silverfort연구팀은 이러한 보호가 절대적이지 않다는 것을 발견했습니다. 분석 과정에서 애플리케이션이 그룹 정책을 우회하고 NTLMv1 인증 요청을 계속 전송할 수 있도록 하는 결함을 발견했습니다. 이는 위험한 사각지대를 만듭니다. 조직은 NTLMv1을 차단했다고 생각하지만 실제로는 여전히 NTLMv1이 남아 있기 때문입니다. Active Directory 신원 도용, 수평적 이동, 특권 확대에 노출됩니다.

기술 심층 분석: NTLMv1 우회 작동 방식

NTLM 정책의 시행은 다음에 따라 달라집니다. Netlogon 원격 프로토콜(MS-NRPC)애플리케이션 서버가 도메인 컨트롤러와 NTLM 메시지를 검증하는 데 사용하는 구조입니다. 이 프로세스의 핵심 구조는 다음과 같습니다. NETLOGON_LOGON_IDENTITY_INFO, 라는 필드가 포함되어 있습니다. 매개변수 제어.

NTLM 스크린샷 5

이 필드 안에는 NTLMv1 인증을 명시적으로 허용하는 플래그가 있습니다. 그룹 정책에서 NTLMv1 인증을 차단하도록 구성된 경우에도 마찬가지입니다. 즉, 제어의 강도는 해당 제어를 준수하는 응용 프로그램에 따라 결정됩니다.

이를 테스트하기 위해 악의적이거나 잘못 구성된 서비스를 시뮬레이션하는 개념 증명 애플리케이션을 구축했습니다. ParameterControl 플래그를 설정하여 NTLMv1 인증을 성공적으로 강제 적용했습니다. 그룹 정책이 NTLMv1을 허용하지 않도록 구성되어 있음에도 불구하고 도메인 컨트롤러는 해당 인증을 수락했습니다.

NTLM 스크린샷 6

즉, 실수든 의도적이든 모든 애플리케이션이 NTLMv1 트래픽을 생성할 수 있으며, 이로 인해 조직은 숨겨진 인증 위험에 노출됩니다. 이러한 애플리케이션을 식별한 공격자는 이를 악용하여 자격 증명을 가로채고, 재전송 또는 릴레이 공격을 수행하고, 측면 이동을 수행할 수 있습니다. Active Directory.

마이크로소프트의 대응

Microsoft 보안 대응 센터(MSRC)에 조사 결과를 공개했을 때, MSRC는 해당 동작을 확인했지만 보안 취약점으로 지정하지는 않았습니다. 대신 Microsoft는 NTLMv1의 완전한 제거를 발표함으로써 적극적인 조치를 취했습니다. 윈도우 11 버전 24H2 윈도우 서버 2025NTLMv1은 더 이상 지원되지 않습니다.

이러한 결정적인 조치는 위험의 심각성을 강조합니다. 그러나 그때까지 NTLMv1 차단을 위해 그룹 정책에만 의존하는 조직은 여전히 ​​위험에 노출되어 있습니다. 공격자가 이러한 인증 취약점을 악용하지 못하도록 NTLMv1 사용을 사전에 감지하고 완화해야 합니다.

무료 리소스

NTLM 기반 애플리케이션 종료 로드맵

이 다운로드 가능한 가이드는 NTLM 기반 애플리케이션을 완전히 종료할 준비가 되었을 때 수행해야 할 작업에 대한 이해하기 쉬운 로드맵을 제공합니다.

지금 읽기

NTLMv1 인증의 보안 위험

Microsoft가 NTLMv1을 더 이상 사용하지 않기로 결정했음에도 불구하고 이는 현대 사회에서 심각한 위험을 초래하고 있습니다. Active Directory 환경. 공격자는 NTLMv1 트래픽이 다음과 같은 항목에 대한 쉬운 진입점을 제공하기 때문에 네트워크에서 NTLMv1 트래픽을 적극적으로 검색합니다.

  • 자격 증명 도용 – NTLMv1 해시는 오프라인에서도 가로채고 해독될 수 있습니다.
  • 리플레이 및 릴레이 공격 – 가로챈 NTLMv1 메시지는 다양한 서비스에서 사용자를 사칭하는 데 재사용될 수 있습니다.
  • 측면 이동 및 특권 확대 – 공격자가 발판을 마련하면 시스템 간 이동이 가능하며 AD 내부에서 권한을 높일 수 있습니다.

조직에서 그룹 정책을 통해 NTLMv1을 차단했다고 생각하더라도, 해당 프로토콜은 은밀하게 유지되는 경우가 많습니다. 애플리케이션은 여전히 ​​NTLMv1 인증을 요청할 수 있으며, 도메인 컨트롤러는 특정 조건에서 이를 승인할 수 있습니다. LMCompatibilityLevel 3 이상의 Windows 클라이언트는 NTLMv1 응답을 생성하지 않지만, Windows가 아닌 클라이언트는 여전히 보호되지 않습니다. 실제로 이는 관리자가 NTLMv1 트래픽이 제거되었다고 가정하더라도 많은 환경에 여전히 NTLMv1 트래픽이 존재한다는 것을 의미합니다.

이러한 지속성으로 인해 NTLMv1이 완전히 제거되었다는 것을 증명하기가 매우 어렵습니다. 결과적으로 많은 조직이 잘못된 보안 인식을 갖게 되고, 공격자는 이러한 취약한 인증을 악용하여 시스템을 손상시킵니다. Active Directory.

NTLMv1을 완화하고 제거하는 방법

Microsoft에서 NTLMv1을 완전히 제거할 때까지 조직은 NTLMv1 사용을 감지하고 차단하기 위한 사전 조치를 취해야 합니다. 그룹 정책에만 의존하는 것은 충분하지 않습니다. 숨겨진 구성 오류나 Windows가 아닌 클라이언트가 NTLMv1 트래픽을 생성할 수 있습니다.

모든 조직이 취해야 할 주요 조치는 다음과 같습니다.

  1. 모든 NTLM 인증에 대한 감사 로그 활성화 도메인 전체에 걸쳐 전체 가시성을 확립합니다.
  2. NTLM을 사용하는 모든 응용 프로그램을 매핑합니다. 온프레미스 및 자체 시스템을 포함하여 기본 방법 또는 대안으로 사용합니다.
  3. NTLMv1 메시지를 계속 요청하는 취약한 애플리케이션을 감지합니다.특히 Windows가 아닌 클라이언트에서.
  4. 현대적인 보호 조치 시행 공격자가 취약한 프로토콜을 악용하지 못하도록 모든 NTLM 인증에 MFA 및 위험 기반 액세스 제어를 적용합니다.

Silverfort의 신원 보안 플랫폼은 NTLMv1 트래픽을 실시간으로 감지하고 적응형 제어를 적용하여 조직이 이러한 조치를 취할 수 있도록 지원합니다. Silverfort보안 팀은 위험한 인증을 포함할 수 있습니다. 서비스 계정 보호비즈니스 운영을 방해하지 않고 현대적인 인증을 시행합니다.

더 자세히 알고 싶으신가요? 주문형 웨비나를 시청하세요

이 연구에 대한 세부 사항을 자세히 알아보려면 이 주문형 웨비나를 확인하세요여기서는 NTLMv1 우회 발견 과정을 살펴보고 패치가 없는 경우 NTLMv1 인증을 완화하는 실질적인 방법을 보여드립니다.

주문형 웨비나

NTLMv1 취약점 공개: 위험 및 완화 전략 Active Directory 환경.

로이 아커만 헤드샷 2.jpg

로이 에이커먼

ID 보안 전략 담당 부사장

도르 세갈 고등학교

도르 시갈

보안 연구팀 리더

요아드 드비르 HS

요드 드비르

수석 제품 마케팅 관리자

그것을 여기에서보십시오

우리는 신원 보안을 한층 더 강화하기로 했습니다.

무엇이 가능한지 알아보세요.

데모를 설정하여 확인하세요 Silverfort 실제 사용 중인 ID 보안 플랫폼입니다.

데모 받기
새로운 영웅 (1)

Silverfort Fabrix Security를 ​​인수합니다.

런타임 시 자율적인 ID 보안 제공

심층 컨텍스트와 AI의 속도를 활용하여 모든 사람, 기계 및 에이전트의 신원을 보호하도록 설계된 최초의 자율 런타임 액세스 제어 엔진을 개척했습니다.

전체 스토리 받기