Müşteri Vaka Çalışması: NTLM Tabanlı Yanal Hareketin Önlenmesi Silverfort
Eylül 29th, 2022 Zev Brodsky
Başlangıcından bu yana, NTLM kimlik doğrulama protokolü, kötü amaçlı erişim için kendisini tehlikeye atmaya çalışan saldırganlara karşı düşük dayanıklılığıyla ünlü olmuştur. NTLM varsayılan olmaktan çıkarken Active Directory ortamlar uzun zaman önce ve birçok kuruluş artık kullanımı kısıtlamaya ve hatta tamamen yasaklamaya çalışıyor olsa da, hala destekleniyor ve yaygın.
Bu blog yazısında, NTLM güvenlik risklerini özetleyeceğiz ve önde gelen bir üreticinin, ulus devlet korsanlarının bundan faydalanmasını nasıl engellediğine bakacağız. yanal hareket Birlikte Silverfort Erişim Politikası.
Içindekiler
Kısa Hatırlatma: NTLM Güvenlik Açıkları
NTLM Özeti
NTLM, kullanıcıların gerçek parolalarının kablo üzerinden gönderilmesini, istemci ile hedef sunucu arasında şifreli bir sorgulama/yanıt alışverişiyle değiştiren bir kimlik doğrulama protokolüdür. Sorgu, alan adı, kullanıcı adı ve kullanıcı parolasının tek yönlü karması dahil olmak üzere oturum açma işlemi sırasında elde edilen verilerden oluşturulur. İstemci sunucuyla bir ağ bağlantısı kurduğunda, sunucu şifreli bir sorgulama gönderir ve yanıtına göre erişim izni verir veya reddeder.
NTLM Yerleşik Zayıf Yönleri
NTLM, tehdit aktörlerinin ondan taviz vermesini kolaylaştıran bazı zayıflıklara tabidir:
- Zayıf şifreleme: Eksikliği tuzlama karma parolayı eşdeğer yapar, böylece sunucudan karma değeri alabilirseniz, gerçek parolayı bilmeden kimlik doğrulaması yapabilirsiniz. Bu, bir hash'i (makinenin belleğinden boşaltmanın çeşitli yolları vardır) alabilen bir saldırganın hedef sunucuya kolayca erişebileceği ve gerçek kullanıcıyı taklit edebileceği anlamına gelir.
- Sunucu kimliği doğrulama eksikliği: Sunucu, istemcinin kimliğini doğrularken, sunucunun kimliğinin buna karşılık gelen bir doğrulaması yoktur, bu da Ortadaki Adam (MITM) saldırısı olasılığını açar.
Uzlaşma Senaryolarına Karşı Koruma Eksikliği
Bu zayıflıklara ek olarak, NTLM de diğer protokoller gibi Active Directory çevre desteklemiyor MFA veya kötü amaçlı kimlik doğrulamasını tespit edip önleyebilecek diğer güvenlik önlemleri. Dolayısıyla bir tehdit aktörü tanımladığımız zayıflıklardan yararlanmaya çalışırsa saldırıyı engelleme şansı son derece düşüktür.
SilverfortNTLM için Koruma: MFA ve Blok Erişim İlkeleri
The Silverfort Bütünleşik Kimlik koruması platform, bir kuruluşun ortamındaki tüm kimlik doğrulamalarını izler ve korur. Silverfort MFA kimlik doğrulamalarında MFA ve koşullu erişim ilkelerini uygulayabilen ilk ve tek çözümdür. kullanma Silverfort, kimlik ve güvenlik ekipleri, NTLM kimlik doğrulamalarını izleyebilir ve yönetebilir ve operasyonel hususlara dayalı olarak, bunları uyarlanabilir ilkelerle korumaya veya NTLM kullanımını tamamen yasaklamaya karar verme esnekliğini elde edebilir.
NTLM Kimlik Doğrulama Bloğu ile Yanal Hareket Saldırısını Önleme
Nisan 2022'de lider bir üretici ve Silverfort'ın müşterileri ulus devlet aktörleri tarafından saldırıya uğradı. Saldırganların ilk hedefi başka bir şirketin fabrikasıydı ve ilk adımları şirketin Wi-Fi ağını tehlikeye atmak oldu. Bunu yaparak, o sırada fabrikayı ziyaret eden birkaç üretici çalışanının dizüstü bilgisayarlarına da erişim sağladılar. Saldırganlar, bu dizüstü bilgisayarların farklı bir şirkete ait olduğunu fark ettiler ve tehlikeye atılan dizüstü bilgisayarları üreticinin dahili ağına bir köprübaşı olarak kullanmaya çalışarak saldırılarını yönlendirdiler. Bu girişimler sırasında saldırganlar, çalışanlardan birinin kimlik bilgilerini ele geçirdi ve üreticinin ağındaki sunucularda NTLM üzerinden oturum açmaya çalıştı.
Saldırıdan önce şirket, bir Silverfort etki alanı ortamındaki sunuculara iş istasyonlarından herhangi bir NTLM oturum açmasını engellemek için politika. Bu erişim politikası, saldırganların tehlikeye attıkları kimlik bilgilerini üreticinin ortamında yanal olarak hareket etmek için kullanmalarını başarıyla engelledi ve sonuçta saldırıyı tamamen engelledi.
Bu saldırı teşebbüsü hakkında daha fazla bilgi edinmek ve Silverfortproaktif tehdit algılama ve önleme, bu müşteri başarısı örnek olay incelemesini indirin okuyun.
