กรณีศึกษาของลูกค้า: การป้องกันการเคลื่อนไหวด้านข้างโดยใช้ NTLM ด้วย Silverfort
September 29th, 2022 เซฟ บรอดสกี้
ตั้งแต่เริ่มก่อตั้ง โปรโตคอลการตรวจสอบสิทธิ์ NTLM มีชื่อเสียงในด้านความยืดหยุ่นต่ำต่อผู้โจมตีที่พยายามประนีประนอมเพื่อการเข้าถึงที่เป็นอันตราย ในขณะที่ NTLM หยุดเป็นค่าเริ่มต้นใน Active Directory สภาพแวดล้อมเมื่อนานมาแล้วและปัจจุบันหลายองค์กรพยายามที่จะจำกัดการใช้งานหรือแม้แต่แบนการใช้งานทั้งหมด มันยังคงได้รับการสนับสนุนและแพร่หลาย
ในบล็อกโพสต์นี้ เราจะสรุปเกี่ยวกับความเสี่ยงด้านความปลอดภัยของ NTLM และดูว่าผู้ผลิตชั้นนำป้องกันไม่ให้แฮ็กเกอร์ระดับประเทศใช้ประโยชน์จากความเสี่ยงดังกล่าวได้อย่างไร การเคลื่อนไหวด้านข้าง กับ Silverfort นโยบายการเข้าถึง
สารบัญ
คำเตือนสั้นๆ: ช่องว่างด้านความปลอดภัย NTLM
สรุป NTLM
NTLM เป็นโปรโตคอลการตรวจสอบความถูกต้องที่มาแทนที่การส่งรหัสผ่านจริงของผู้ใช้ผ่านสายด้วยการแลกเปลี่ยนความท้าทาย/การตอบสนองที่เข้ารหัสระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ปลายทาง คำถามนี้สร้างขึ้นจากข้อมูลที่ได้รับระหว่างกระบวนการเข้าสู่ระบบ ซึ่งรวมถึงชื่อโดเมน ชื่อผู้ใช้ และแฮชทางเดียวของรหัสผ่านผู้ใช้ เมื่อไคลเอนต์สร้างการเชื่อมต่อเครือข่ายกับเซิร์ฟเวอร์ เซิร์ฟเวอร์จะส่งคำถามเข้ารหัสและอนุญาตหรือปฏิเสธการเข้าถึงตามการตอบสนอง
จุดอ่อนในตัว NTLM
NTLM อยู่ภายใต้จุดอ่อนบางประการที่ทำให้ผู้คุกคามสามารถประนีประนอมได้ง่ายขึ้น:
- การเข้ารหัสที่อ่อนแอ: การขาด เกลือ ทำให้เทียบเท่ากับรหัสผ่านแฮช ดังนั้นหากคุณดึงค่าแฮชจากเซิร์ฟเวอร์ได้ คุณจะสามารถตรวจสอบสิทธิ์ได้โดยไม่ต้องรู้รหัสผ่านจริง ซึ่งหมายความว่าผู้โจมตีที่สามารถดึงแฮชได้ ซึ่งมีหลายวิธีในการดัมพ์จากหน่วยความจำของเครื่อง จากนั้นจะสามารถเข้าถึงเซิร์ฟเวอร์เป้าหมายและปลอมตัวเป็นผู้ใช้จริงได้อย่างง่ายดาย
- ขาดการตรวจสอบตัวตนของเซิร์ฟเวอร์: ในขณะที่เซิร์ฟเวอร์ตรวจสอบข้อมูลประจำตัวของไคลเอนต์ จะไม่มีการตรวจสอบยืนยันข้อมูลประจำตัวของเซิร์ฟเวอร์ที่สอดคล้องกัน ซึ่งเปิดโอกาสในการโจมตีแบบ Man-In-The-Middle (MITM)
ขาดการป้องกันสถานการณ์ประนีประนอม
นอกจากจุดอ่อนเหล่านี้แล้ว NTLM ก็เหมือนกับโปรโตคอลอื่นๆ ใน Active Directory สิ่งแวดล้อมไม่อำนวย ไอ้เวรตะไล หรือมาตรการรักษาความปลอดภัยอื่น ๆ ที่สามารถตรวจจับและป้องกันการรับรองความถูกต้องที่เป็นอันตราย ดังนั้น หากผู้คุกคามพยายามใช้ประโยชน์จากจุดอ่อนที่เราอธิบายไว้ โอกาสในการบล็อกการโจมตีนั้นต่ำมาก
Silverfortการป้องกันของ NTLM: นโยบาย MFA และบล็อกการเข้าถึง
พื้นที่ Silverfort ปึกแผ่น การป้องกันตัวตน แพลตฟอร์มตรวจสอบและปกป้องการรับรองความถูกต้องทั้งหมดภายในสภาพแวดล้อมขององค์กร Silverfort เป็นโซลูชันแรกและโซลูชันเดียวที่สามารถบังคับใช้ MFA และนโยบายการเข้าถึงแบบมีเงื่อนไขในการรับรองความถูกต้องของ MFA โดยใช้ Silverfortทีมเอกลักษณ์และความปลอดภัยสามารถตรวจสอบและควบคุมการรับรองความถูกต้องของ NTLM และได้รับความยืดหยุ่นในการตัดสินใจ โดยพิจารณาจากข้อควรพิจารณาในการปฏิบัติงานว่าจะปกป้องด้วยนโยบายที่ปรับเปลี่ยนได้หรือแบนการใช้ NTLM โดยสิ้นเชิง
ป้องกันการโจมตีด้วยการเคลื่อนไหวด้านข้างด้วย NTLM Authentication Block
ในเดือนเมษายน 2022 ผู้ผลิตชั้นนำและหนึ่งใน Silverfortลูกค้าของถูกโจมตีโดยนักแสดงระดับชาติ เป้าหมายเริ่มต้นของผู้โจมตีคือโรงงานของบริษัทอื่น และขั้นตอนแรกของพวกเขาคือการประนีประนอมเครือข่าย Wi-Fi ด้วยการทำเช่นนี้ พวกเขายังสามารถเข้าถึงแล็ปท็อปของพนักงานของผู้ผลิตหลายคนที่กำลังเยี่ยมชมโรงงานในขณะนั้น ผู้โจมตีตระหนักว่าแล็ปท็อปเหล่านี้เป็นของบริษัทอื่นและหันเหการโจมตี โดยพยายามใช้แล็ปท็อปที่ถูกบุกรุกเป็นหัวหาดในเครือข่ายภายในของผู้ผลิต ในระหว่างความพยายามเหล่านี้ ผู้โจมตีได้บุกรุกข้อมูลส่วนตัวของพนักงาน และพยายามเข้าสู่ระบบเซิร์ฟเวอร์ภายในเครือข่ายของผู้ผลิตผ่าน NTLM
ก่อนการโจมตี บริษัทได้กำหนดค่า Silverfort นโยบายเพื่อป้องกันการเข้าสู่ระบบ NTLM จากเวิร์กสเตชันไปยังเซิร์ฟเวอร์ในสภาพแวดล้อมของโดเมน นโยบายการเข้าถึงนี้ประสบความสำเร็จในการป้องกันผู้โจมตีจากการใช้ข้อมูลประจำตัวที่พวกเขาบุกรุกเพื่อย้ายไปยังด้านข้างภายในสภาพแวดล้อมของผู้ผลิต ซึ่งท้ายที่สุดแล้วเป็นการบล็อกการโจมตีทั้งหมด
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการพยายามโจมตีนี้และ Silverfortการตรวจจับและป้องกันภัยคุกคามเชิงรุก ดาวน์โหลดกรณีศึกษาความสำเร็จของลูกค้านี้ โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.
