A descontinuação do NTLM está nos dando flashbacks do XP EOL: você está protegido?
Microsoft recentemente anunciou a descontinuação do protocolo NTLM para cliente Windows. Isso está de acordo com o incentivo da Microsoft para se afastar do NTLM devido aos riscos de segurança que ele introduz – e atua como um alerta de que manter o uso do NTLM coloca os ambientes em alto risco.
Não podemos ignorar a notável semelhança entre a situação actual NTLM depreciação e EOL do Windows XP há uma década. Em ambos os casos, a Microsoft deixou de suportar uma infraestrutura legada – mas extremamente comum – que expõe seus usuários a riscos críticos. No caso do XP, o risco era a execução remota maliciosa de código; com NTLM é acesso credencial e subsequente movimento lateral e a ransomware se espalhar.
Este blog fornece um resumo das possíveis ameaças de identidade que o NTLM apresenta às organizações atualmente e descreve um plano de mitigação para garantir que seu ambiente permaneça resiliente.
Índice analítico
Você sabia que o NTLM está vivo e forte?
Embora o NTLM seja 'inseguro' seja de conhecimento comum, ele ainda é muito utilizado em ambientes de produção. O Relatório subterrâneo de identidade, publicado em março de 2024, divulgou que um proporção alarmante de usuários, administradores e contas de serviço ainda usam NTLM para acesso a recursos:
64% de contas de usuário use regularmente NTLM para acesso a recursos
37% dos usuários administradores usam regularmente NTLM para acesso a recursos
46% das contas de serviço usam NTLM regularmente para acesso a recursos
Você sabia que o NTLM pode permitir a propagação de ransomware em massa?
Mas qual é o risco real do alto uso de NTLM?
Os problemas de segurança do NTLM decorrem da maneira como ele usa hashes em vez de senhas. Isso elimina o envio da senha em texto não criptografado pela rede, o que é bom. No entanto, os invasores podem abusar desse mecanismo e usar o próprio hash NTLM como senha equivalente para acesso malicioso a recursos.
Vamos mapear esse abuso de NTLM para MITRE Terminologia da estrutura ATT&CK:
- Acesso de credencial: os invasores podem empregar uma ampla gama de ferramentas disponíveis para extrair o NTLM de seu armazenamento na memória das máquinas ou enquanto ele atravessa a rede entre máquinas.
- Movimento lateral: após o comprometimento do hash, os invasores podem usar o próprio hash ou descriptografá-lo offline para obter a senha em texto não criptografado. No primeiro caso, eles usariam técnicas como Pass-the-Hash ou NTLM relay. Neste último caso, eles simplesmente usariam senhas recém-obtidas para acesso malicioso.
A combinação de acesso credencial e o movimento lateral é o fator X por trás de todos os ataques de ransomware de alto perfil que as organizações sofreram nos últimos anos.
Conhecimento é poder: faça as seguintes perguntas para compreender e resolver sua exposição ao risco NTLM
Obtenha informações sobre a exposição NTLM e os recursos de mitigação do seu ambiente perguntando ao seu segurança de identidade equipe as seguintes perguntas:
Temos visibilidade do uso real do NTLM em nosso ambiente?
Esta pergunta se concentra no escopo da sua exposição ao NTLM em todos os usuários, administradores, contas de serviço e nos recursos onde o NTLM é usado. A resposta deve ser quantificada em porcentagem, como mostramos acima.
Podemos limitar o uso do NTLM para onde ele está absolutamente necessário?
A próxima etapa é ver o que você pode fazer para minimizar o uso de NTLM. A resposta a esta pergunta deve mostrar a parte do uso do NTLM que não pode ser eliminada (aplicativos legados são o exemplo mais comum) e a parte que pode ser removida sem qualquer interrupção operacional.
Podemos bloquear o movimento lateral facilitado pelo NTLM em tempo real?
Aqui devemos assumir que uma violação já aconteceu. Se o NTLM estiver em vigor, há uma chance sólida de que os invasores comprometam as senhas e tentem realizar acesso malicioso. A resposta a esta pergunta deve listar os controles de segurança em vigor que podem detectar e bloquear tentativas de acesso mal-intencionado usando tecnologias relacionadas ao NTLM. credenciais comprometidas.
Conclusão: Ver, Conhecer e Agir para Mitigar os Riscos NTLM
Assim como no Windows XP, ser proativo é a melhor abordagem para mitigar os riscos causados pelo NTLM. As três perguntas acima são um esboço para uma estratégia de mitigação proativa. Portanto, suas equipes de identidade e segurança podem fornecer respostas sólidas a elas? Claro, isso dependeria das soluções de identidade e segurança que você possui. Se você não conseguir encontrar as respostas ou se elas forem insatisfatórias, será necessária uma ação imediata para encontrar a solução que possa ajudar. Qualquer coisa menor do que isso deixaria você exposto.
Lembra-se do XP e dos vários ataques que as organizações enfrentam diariamente? Esse problema não desapareceu por si só. NTLM não será diferente.