사이버 레질리언스의 핵심 부분이 기술 변화에 적응하는 것이지만, 일정하게 유지된 공격 표면을 해결하는 것도 똑같이 중요합니다. 이는 대부분의 기업이 최신 클라우드 워크로드 및 SaaS 애플리케이션 외에도 상당한 양의 레거시 인프라를 유지 관리했기 때문입니다. 때때로 이는 마이그레이션 운영 비용과 중요한 프로세스 중단 가능성에 대한 우려 때문입니다. 다른 경우에는 단순히 IT 팀이 레거시 구성 요소의 존재조차 인식하지 못하기 때문입니다. 그러나 이유가 무엇이든 레거시 인프라는 최신 대안보다 항상 덜 안전하기 때문에 위협 행위자의 잘 익은 표적입니다. 

이 게시물에서는 레거시 인프라의 대표적인 예인 NTLMv1 인증 프로토콜을 살펴봅니다. NTLM의 이 초기 버전에는 치명적인 보안 취약점이 포함되어 있어 공격자가 다양한 ID 기반 공격. 그리고 30년이 넘었지만 프로덕션 환경에서 여전히 발견될 수 있으므로 탐지하기 매우 어려운 손상 위험에 노출됩니다.

그런 다음 방법을 보여 드리겠습니다. Silverfort 기업이 검색, 모니터링 및 모든 인증에 대한 제어 여전히 이 구식 프로토콜을 사용하는 액세스 시도. 

NTLM 인증: 간략한 역사

에 따르면 위키 백과, "안에 Windows NTLM(New Technology LAN Manager)은 Microsoft 사용자에게 인증, 무결성 및 기밀성을 제공하기 위한 보안 프로토콜입니다. NTLM은 Microsoft 인증 프로토콜의 후속 제품입니다. 랜 매니저. NTLM 프로토콜 제품군은 보안 지원 제공자, 결합 랜 매니저 인증 프로토콜 NTLMv1, NTLMv2 및 NTLM2를 단일 패키지로 제공합니다.” (NTLM2는 NTLMv1과 NTLMv2를 결합합니다.) 

NTLMv1은 1993년에 출시되었으며 챌린지-응답 인증 프로토콜입니다. 즉, 인증 프로세스는 다음 세 단계로 수행됩니다. 

1. 클라이언트 시스템은 대상 서버에 대한 네트워크 연결을 설정합니다.
2. 서버는 클라이언트 시스템에 챌린지를 보냅니다.
3. 클라이언트 시스템은 챌린지에 응답하고 서버는 응답에 따라 액세스를 허용하거나 거부합니다.

1998년 NTLMv2는 Windows NT 4.0 SP 4에서 릴리스되었으며 그 이후로 현재 버전의 프로토콜이 되었습니다.

일반 NTLM 보안 문제

NTLM 인증의 모든 버전에는 다음과 같은 보안 문제가 있습니다.

1. 부족 염장 해시를 암호와 동일하게 만듭니다. 즉, 서버에서 해시 값을 가져올 수 있는 경우 실제 암호를 몰라도 인증할 수 있습니다. 즉, 해시를 검색할 수 있는 공격자(시스템 메모리에서 해시를 덤프하는 다양한 방법이 있음)는 쉽게 대상 서버에 액세스하고 실제 사용자를 가장할 수 있습니다.
2. 서버는 실제로 클라이언트의 신원을 확인하지만 서버 신원에 대한 해당 확인이 없기 때문에 MITM(Man-In-The-Middle) 공격의 가능성이 있습니다.
3. NTLMv1에는 클라이언트 챌린지가 없습니다. NTLMv1에 대한 공격의 경우 공격자는 클라이언트가 알려진 서버 챌린지로 NTLMv1 응답을 계산하도록 강제할 수 있습니다. 그런 다음 공격자는 NTLMv1 응답을 확인하여 사용자의 암호를 효율적으로 추측할 수 있습니다. 무지개 테이블.
4. 부족 MFA 지원은 손상된 암호 또는 해시의 경우 프로토콜의 보호를 박탈합니다. 

이러한 우려로 인해 Microsoft는 NTLM을 보다 안전한 Kerberos NTLM을 백업으로 유지하지만 인증 프로토콜을 AD 환경의 기본값으로 사용합니다. 그러나 NTLM 내에서도 NTLMv1은 후속 제품인 NTLMv2보다 훨씬 덜 안전합니다.

NTLMv1을 보안 위험으로 만드는 요소

프로토콜의 보안 수준은 문제에 따라 달라집니다. 타협하기 어려울수록 인증이 더 안전해집니다. 

NTLMv1의 경우 차이점은 특정 문제에 있습니다.

1. NTLMv1은 16비트 고정 길이 숫자로 챌린지를 생성하는 반면 NTLMv2는 가변 길이의 챌린지를 생성합니다.
2. NTLMv1은 암호 해독이 빠른 약한 DES 암호화 알고리즘을 사용하여 무차별 공격에 취약한 반면, NTLMv2는 암호 해독이 실시간으로 이루어질 수 없기 때문에 이러한 공격에 더 잘 저항할 수 있는 느린 HMAC-MD5를 사용합니다. 

따라서 NTLMv1 인증을 사용하는 모든 시스템은 공격자가 도전을 수락하는 방법을 쉽게 만들어 시스템에 액세스할 수 있기 때문에 손상에 노출됩니다. 

이를 염두에 두고 IT 및 보안 팀이 NTLMv1에서 벗어나려는 이유를 쉽게 이해할 수 있습니다. 이론상으로는 쉽습니다. NTLMv1을 사용하는 모든 시스템을 찾고 보다 안전한 프로토콜로 전환하기만 하면 됩니다. 그러나 실제로는 훨씬 더 어렵습니다.

NTLMv1 탐지 및 제거의 장애물

이상적인 세상에서는 클릭했을 때 환경 내에서 발생하는 모든 NTLMv1 인증을 표시하는 필터가 있을 것입니다. 불행히도 현실은 그렇게 간단하지 않습니다.

가장 간단한 경로는 도메인 컨트롤러에서 로그온 성공 감사를 활성화하는 것입니다. Microsoft의 설명서에 따르면 각 끝점은 필요한 정보(NTLM 버전에 대한 정보가 포함된 성공 감사 이벤트 4624)가 있는 이벤트를 생성해야 합니다. 수신된 이벤트 로그에는 NTLM의 이름을 나타내는 '패키지 이름(NTLM만 해당)' 필드가 포함되어 있습니다. 버전). 그러나 이러한 로그 수집은 DC에서 중앙 집중식으로 수행할 수 없으며 각 개별 컴퓨터에서 검색해야 합니다. 또한 이벤트에 NTLM 버전 데이터가 없거나 생성되지 않은 경우가 많습니다. 

또한 대부분의 경우 NTLMv1은 앱 서버에 대해 NTLMv1 인증이 수행되는 레거시 애플리케이션 내에서 발견됩니다. 따라서 응용 프로그램을 코딩한 프로그래머가 건전한 감사 메커니즘을 구현했다는 보장이 없습니다. 응용 프로그램이 Windows 서버를 사용하는 경우 예를 들어 IIS 인증(웹 서버 응용 프로그램)과 같은 내부 Windows 라이브러리를 사용하는 경우 로컬에서 부분적으로 감사될 수 있습니다. 그러나 애플리케이션이 완전히 타사에서 작성된 경우 로그가 전혀 감사되지 않습니다. 이 경우 침입 단계(예: 패킷 암호 해독 또는 실제 앱 코드 분석) 없이 NTLMv1이 사용 중인지 확인할 방법이 없습니다.

NTLMv1 인증은 네트워크 수준 검사를 사용하여 부분적으로 탐지할 수 있지만 대부분의 경우 이 트래픽이 암호화되기 때문에 이러한 검사는 불가능합니다.

따라서 문제는 NTLMv1 자체의 본질적인 불안정성뿐 아니라 주어진 환경 내에서 사용되고 있는지 여부를 판단하는 어려움에도 있습니다. 

SilverfortNTLMv1 공격 표면에 대한 의 보호

XNUMXD덴탈의 Silverfort 통합 신원 보호 플랫폼은 환경 내에서 모든 NTLMv1 인증을 검색할 수 있을 뿐만 아니라 적극적으로 차단할 수 있는 고유한 기능을 조직에 제공합니다. 

Silverfort 분석 엔진은 NTLMv1 인증을 감지하고 이를 위험 지표로 표시합니다. 이 위험 표시기는 이러한 인증을 수행하는 시스템을 검색하기 위한 필터와 액세스 정책 트리거로 사용할 수 있습니다. 내부에서 어떻게 보이는지 봅시다. Silverfort 콘솔:

발견

인증 로그 화면에서 NTLMv1 인증 상자를 선택합니다. 선택하면 일치하는 모든 인증이 표시되어 비활성화 여부를 결정하는 데 도움이 되도록 NTLMv1을 사용하는 시스템에 대한 실행 가능한 정보를 제공합니다.

NTLMv1 활성화 Silverfort의 인증 로그 화면

보호 

유사한 방식으로, Silverfort 액세스 정책을 활성화하기 위한 트리거로 NTLMv1 위험 표시기를 사용할 수 있습니다. 그러면 조치는 다음 중 하나가 됩니다.

• 거부: 추가 예방 조치로 환경 내에서 NTLMv1을 전혀 허용하지 않으려면 이 옵션을 선택하십시오.
  

Silverfort NTLMv1을 통한 액세스 거부 정책

• MFA: 어떤 이유로든 NTLMv1 사용을 제거할 수 없는 경우(예: 중요한 비즈니스 프로세스를 손상시키고 위험에 빠뜨릴 수 있는 오래된 응용 프로그램이 있는 경우) 이 옵션을 선택하십시오. 이 경우 인증 흐름이 손상되더라도 실제 사용자는 액세스 권한을 얻기 위해 MFA를 통해 신원을 확인해야 하므로 악의적인 액세스에 대한 프로토콜의 약점을 악용할 수 있는 공격자의 능력을 효과적으로 무력화할 수 있습니다.
  

Silverfort NTLMv1을 통해 인증할 때 MFA 스텝업을 요구하는 정책

포괄적인 보안으로 가는 길

오늘날의 하이브리드 환경에는 여러 유형의 시스템이 나란히 존재하므로 포괄적인 보안이란 모든 시스템을 모니터링하고 보호하는 것을 의미합니다. NTLMv1은 레거시 시스템 문제의 한 예일 뿐입니다. 레거시 인프라에 보안 취약점이 존재하는 경우 여기에서 손상을 입으면 공격자가 환경의 다른 부분에도 액세스할 수 있다는 점을 이해하는 것도 중요합니다. 이를 올바르게 생각하는 방법은 레거시 시스템을 보호하는 것이 아니라 레거시 시스템이 환경의 관문이 되는 것을 방지하는 것입니다. 

Silverfort의 통합 신원 보호 대상 리소스가 SaaS 애플리케이션, 클라우드 워크로드 또는 온프레미스 서버인지 여부에 관계없이 전체 하이브리드 엔터프라이즈에서 ID 위협으로부터 보호하기 위해 특별히 제작된 최초의 플랫폼입니다. Silverfort NTLMv1을 포함하여 이전에는 보호할 수 없었던 모든 핵심 리소스로 MFA 및 최신 ID 보안을 확장합니다.

NTLMv1은 공격 표면 당신은 주소를 원하십니까? 전문가와 회의 일정을 잡으세요 여기에서 지금 확인해 보세요..