A descontinuação do NTLM está nos dando flashbacks do XP EOL: você está protegido? 

Início » Blog » A descontinuação do NTLM está nos dando flashbacks do XP EOL: você está protegido? 

Microsoft recentemente anunciou a descontinuação do protocolo NTLM para cliente Windows. Isso está de acordo com o incentivo da Microsoft para se afastar do NTLM devido aos riscos de segurança que ele introduz – e atua como um alerta de que manter o uso do NTLM coloca os ambientes em alto risco.  

Não podemos ignorar a notável semelhança entre a situação actual NTLM depreciação e EOL do Windows XP há uma década. Em ambos os casos, a Microsoft deixou de suportar uma infraestrutura legada – mas extremamente comum – que expõe seus usuários a riscos críticos. No caso do XP, o risco era a execução remota maliciosa de código; com NTLM é acesso credencial e subsequente movimento lateral e a ransomware se espalhar. 

Este blog fornece um resumo das possíveis ameaças de identidade que o NTLM apresenta às organizações atualmente e descreve um plano de mitigação para garantir que seu ambiente permaneça resiliente.

Você sabia que o NTLM está vivo e forte? 

Embora o NTLM seja 'inseguro' seja de conhecimento comum, ele ainda é muito utilizado em ambientes de produção. O Relatório subterrâneo de identidade, publicado em março de 2024, divulgou que um proporção alarmante de usuários, administradores e contas de serviço ainda usam NTLM para acesso a recursos

64% de contas de usuário use regularmente NTLM para acesso a recursos  

Diagrama nº 1: Detalhamento das autenticações NTLM por porcentagem de usuários 

37% dos usuários administradores usam regularmente NTLM para acesso a recursos 

Diagrama nº 2: detalhamento adicional com foco em usuários administradores e não administradores 

 

46% das contas de serviço usam NTLM regularmente para acesso a recursos 

Diagrama nº 3: Detalhamento das autenticações NTLM por porcentagem de contas de serviço

Você sabia que o NTLM pode permitir a propagação de ransomware em massa? 

Mas qual é o risco real do alto uso de NTLM? 

Os problemas de segurança do NTLM decorrem da maneira como ele usa hashes em vez de senhas. Isso elimina o envio da senha em texto não criptografado pela rede, o que é bom. No entanto, os invasores podem abusar desse mecanismo e usar o próprio hash NTLM como senha equivalente para acesso malicioso a recursos.  

Vamos mapear esse abuso de NTLM para MITRE Terminologia da estrutura ATT&CK: 

  • Acesso de credencial: os invasores podem empregar uma ampla gama de ferramentas disponíveis para extrair o NTLM de seu armazenamento na memória das máquinas ou enquanto ele atravessa a rede entre máquinas. 
  • Movimento lateral: após o comprometimento do hash, os invasores podem usar o próprio hash ou descriptografá-lo offline para obter a senha em texto não criptografado. No primeiro caso, eles usariam técnicas como Pass-the-Hash ou NTLM relay. Neste último caso, eles simplesmente usariam senhas recém-obtidas para acesso malicioso.   

A combinação de acesso credencial e o movimento lateral é o fator X por trás de todos os ataques de ransomware de alto perfil que as organizações sofreram nos últimos anos. 

Conhecimento é poder: faça as seguintes perguntas para compreender e resolver sua exposição ao risco NTLM  

Obtenha informações sobre a exposição NTLM e os recursos de mitigação do seu ambiente perguntando ao seu segurança de identidade equipe as seguintes perguntas: 

Temos visibilidade do uso real do NTLM em nosso ambiente? 

Esta pergunta se concentra no escopo da sua exposição ao NTLM em todos os usuários, administradores, contas de serviço e nos recursos onde o NTLM é usado. A resposta deve ser quantificada em porcentagem, como mostramos acima.  

Podemos limitar o uso do NTLM para onde ele está absolutamente necessário? 

A próxima etapa é ver o que você pode fazer para minimizar o uso de NTLM. A resposta a esta pergunta deve mostrar a parte do uso do NTLM que não pode ser eliminada (aplicativos legados são o exemplo mais comum) e a parte que pode ser removida sem qualquer interrupção operacional.  

Podemos bloquear o movimento lateral facilitado pelo NTLM em tempo real? 

Aqui devemos assumir que uma violação já aconteceu. Se o NTLM estiver em vigor, há uma chance sólida de que os invasores comprometam as senhas e tentem realizar acesso malicioso. A resposta a esta pergunta deve listar os controles de segurança em vigor que podem detectar e bloquear tentativas de acesso mal-intencionado usando tecnologias relacionadas ao NTLM. credenciais comprometidas.  

Conclusão: Ver, Conhecer e Agir para Mitigar os Riscos NTLM 

Assim como no Windows XP, ser proativo é a melhor abordagem para mitigar os riscos causados ​​pelo NTLM. As três perguntas acima são um esboço para uma estratégia de mitigação proativa. Portanto, suas equipes de identidade e segurança podem fornecer respostas sólidas a elas? Claro, isso dependeria das soluções de identidade e segurança que você possui. Se você não conseguir encontrar as respostas ou se elas forem insatisfatórias, será necessária uma ação imediata para encontrar a solução que possa ajudar. Qualquer coisa menor do que isso deixaria você exposto.   

Lembra-se do XP e dos vários ataques que as organizações enfrentam diariamente? Esse problema não desapareceu por si só. NTLM não será diferente.  

Pare as ameaças à identidade agora