Pesquisar

Língua

Estudo de caso de cliente: Prevenindo movimentos laterais baseados em NTLM com Silverfort 

29 de setembro de 2022

Início » Blog » Estudo de caso de cliente: Prevenindo movimentos laterais baseados em NTLM com Silverfort 

Desde a sua criação, o protocolo de autenticação NTLM tem sido famoso pela sua baixa resiliência contra atacantes que procuram comprometê-lo para acesso malicioso. Embora o NTLM tenha deixado de ser o padrão em Active Directory ambientes há muito tempo e muitas organizações agora se esforçam para restringir o uso ou até mesmo proibi-lo completamente, ele ainda é suportado e predominante.

Nesta postagem do blog, recapitularemos os riscos de segurança do NTLM e veremos como um fabricante líder evitou que hackers nacionais o aproveitassem para movimento lateral com uma Silverfort política de acesso.

Índice analítico

  • Breve lembrete: lacunas de segurança do NTLM
  • Prevenindo um ataque de movimento lateral com bloco de autenticação NTLM

    • Breve lembrete: lacunas de segurança do NTLM

    Recapitulação do NTLM

    NTLM é um protocolo de autenticação que substitui o envio de senhas reais dos usuários pela rede por uma troca criptografada de desafio/resposta entre o cliente e o servidor de destino. O desafio é gerado a partir de dados obtidos durante o processo de logon, incluindo nome de domínio, nome de usuário e um hash unidirecional da senha do usuário. Depois que o cliente estabelece uma conexão de rede com o servidor, o servidor envia um desafio criptografado e concede ou nega acesso com base em sua resposta.

    Fraquezas integradas do NTLM

    O NTLM está sujeito a certas fraquezas que tornam mais fácil para os atores da ameaça comprometê-lo:

    1. Criptografia fraca: A falta de salga torna a senha hash equivalente, portanto, se você puder obter o valor hash do servidor, poderá autenticar sem saber a senha real. Isso significa que um invasor que consegue recuperar um hash – há várias maneiras de despejá-lo da memória da máquina – pode então acessar facilmente um servidor de destino e se passar pelo usuário real.
    2. Falta de validação de identidade do servidor: Embora o servidor valide a identidade do cliente, não há validação correspondente da identidade do servidor, o que abre a possibilidade de um ataque Man-In-The-Middle (MITM).

    Falta de proteção contra cenários de comprometimento

    Além dessas fraquezas, o NTLM, como outros protocolos do Active Directory ambiente, não suporta MFA ou quaisquer outras medidas de segurança que possam detectar e impedir autenticação maliciosa. Portanto, se um agente de ameaça tentar aproveitar os pontos fracos que descrevemos, as chances de bloquear o ataque serão extremamente baixas.

    SilverfortProteção do para NTLM: MFA e políticas de bloqueio de acesso

    A Silverfort unificado Proteção de identidade plataforma monitora e protege todas as autenticações dentro do ambiente de uma organização. Silverfort é a primeira e única solução que pode impor políticas de MFA e de acesso condicional em autenticações de MFA. Usando Silverfort, as equipes de identidade e segurança podem monitorar e controlar as autenticações NTLM e obter flexibilidade para decidir, com base em considerações operacionais, se devem protegê-las com políticas adaptativas ou proibir totalmente o uso de NTLM.

    Prevenindo um ataque de movimento lateral com bloco de autenticação NTLM

    Em abril de 2022, um fabricante líder e um dos SilverfortOs clientes da empresa foram atacados por atores do Estado-nação. O alvo inicial dos invasores era a fábrica de outra empresa, e o primeiro passo foi comprometer sua rede Wi-Fi. Ao fazer isso, eles também tiveram acesso aos laptops de vários funcionários da fabricante que estavam visitando a fábrica naquele momento. Os invasores perceberam que esses laptops pertenciam a uma empresa diferente e direcionaram o ataque, tentando usar os laptops comprometidos como base para a rede interna do fabricante. No decurso destas tentativas, os atacantes comprometeram as credenciais de um dos funcionários e tentaram iniciar sessão em servidores da rede do fabricante através de NTLM.  

    Antes do ataque, a empresa havia configurado um Silverfort política para evitar logins NTLM de estações de trabalho para servidores em seu ambiente de domínio. Esta política de acesso impediu com sucesso que os atacantes utilizassem as credenciais que tinham comprometido para se moverem lateralmente dentro do ambiente do fabricante, bloqueando, em última análise, o ataque por completo.

    Para saber mais sobre esta tentativa de ataque e Silverfortdetecção e prevenção proativa de ameaças, baixe este estudo de caso de sucesso do cliente SUA PARTICIPAÇÃO FAZ A DIFERENÇA.

    Pronto para uma demonstração?
    Inscreva-se hoje.

    Postagens recentes

    6 de maio de 2024

    Usando MITM para contornar a proteção resistente a phishing FIDO2

    2 de maio de 2024

    Silverfort revelará pesquisa na RSA 2024: usando MITM para ignorar métodos modernos de autenticação para SSO

    24 de abril de 2024

    5 maneiras de melhorar sua higiene AD com Silverfort  

    Março 26th, 2024

    The Identity Underground Report: uma visão aprofundada das lacunas de segurança de identidade mais críticas  
    Ver mais

    Siga-nos

    Pare as ameaças à identidade agora