NTLM进击两例 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

NTLM进击两例

申博_新闻事件 申博 53次浏览 未收录 0个评论

sunbet

sunbet是本地的一家新闻门户网站,体现新媒体时代特点的主流媒体平台。sunbet集合威海播报、文娱体育、海内外热点、旅游出行、美食健康、问政等领域进行信息的及时传达,sunbet为您带来时下最热的新闻放送、最愉快的本地生活感受。整合社会政务、便民服务、智慧城市新闻资讯,打造集便民、新闻发布、智慧城市服务功能为一体的综合性融媒体互联网平台,创造地区全媒体矩阵的中流砥柱。

,

10月10日,微软宣布了Preempt 研讨团队发明的两个主要破绽CVE 2019-1166和CVE-2019-1338的补丁。

CVE 2019-1166: 该破绽许可进击者绕过NTLM认证的MIC(Message Integrity Code,音讯完整性代码)庇护,因而能够修正NTLM音讯流的恣意域,包括署名请求。进击者运用该绕过能够中继已与其他服务器协商过的认证尝试,诱使服务器完整疏忽署名请求。一切不强迫署名的服务器都受该破绽的进击。

CVE 2019-1338: 该破绽许可进击者绕过NTLM认证的MIC庇护,以及其他减缓NTLM中继的解决计划,如EPA和针对特定发送LMv2 challenge responses的NTLM客户端的目的SPN考证。进击者运用该破绽能够运用NTLM中继来胜利完成对主要服务器的认证和盗取有价值的用户数据。

CVE 2019-1166 – 开释MIC 2

MIC是NTLM客户端供应的一个可选域,用来确保进击者没法修正NTLM音讯。MIC的存在是在NTLM_AUTHENTICATE音讯的msvAvFlag域中声明的,个中flag 0x2表明音讯中含有MIC,而且应该对想要移除MIC实行NTLM中继的进击者举行防护。

 

在CVE-2019-1040破绽中,研讨人员给出了一种体式格局在不修正msvAvFlag域的体式格局下从音讯中移除MIC,即从含有其他版本域和协商flag的音讯中开释。在宣布了该破绽的补丁后,由于msvAvFlag域会举行考证,因而移除MIC的体式格局不可行了。但研讨人员找到了一种新的体式格局来使服务器置信音讯中不包括MIC,如许研讨人员就能够修正NTLM认证流中的恣意阶段,比方移除署名请求。

手艺细节

该破绽的关键在于明白MIC是一个可选域,NTLM服务器考证该域的唯一当时就是搜检msvAvFlag域的flag。另外,由于msvAvFlag域是由用户暗码的哈希值署名的,所以进击者没法修正。

但依然有方法能够绕过MIC庇护,并修正NTLM协商阶段,比方署名请求。这与CVE-2019-1019的EPA绕过破绽相似。EPA绕过破绽许可进击者简朴注入msvAvFlag域到NTLM_CHALLENGE的TargetInfo域的av_pairs中,这会在NTLM_AUTHENTICATE音讯中显现。假如进击者将msvAvFlag域设为0,该域就会被注入到NTLM_AUTHENTICATE音讯中,同时会有一个分外的msvAvFlag域示意客户端就算出来的准确的值,假如音讯中加入了MIC,那末该域就会设置为0x2。

那末被进击的目的在吸收到2个含有差别msvAvFlag域的NTLM_AUTHENTICATE音讯时,被进击的目的会怎么做呢?荣幸的是进击者只会斟酌第一个域,就是进击者声明音讯中不存在MIC的谁人域。因而,进击者只须要从NTLM_AUTHENTICATE音讯中移除MIC,绕过该域庇护的平安特性就能够了。

详细的移除MIC绕过session署名的进击流以下所示:

· 重设NTLM_NEGOTIATE音讯 (NTLMSSP_NEGOTIATE_ALWAYS_SIGN, NTLMSSP_NEGOTIATE_SIGN)的署名flag;

OpenSSH XMSS Key 解析整数溢出漏洞(CVE-2019-16905)分析

0x01  漏洞分析 OpenSSH是Internet用户所依赖的SSH连接工具的免费版本。telnet,rlogin和ftp的用户可能不知道他们的密码是未经加密地通过Internet传输的,但实际上确实是这样。 OpenSSH会对所有流量(包括密码)进行加密,以有效消除窃听,连接劫持和其他攻击。此外,OpenSSH提供安全隧道功能和多种身份验证方法,并支持所有SSH协议版本。 OpenSSH支持多种签名算法(用于

· 在NTLM_CHALLENGE音讯顶用多个0注入歹意msvAvFlag域;

· 从NTLM_AUTHENTICATE音讯中移除MIC

· 重设NTLM_AUTHENTICATE音讯的以下flag: NTLMSSP_NEGOTIATE_ALWAYS_SIGN, NTLMSSP_NEGOTIATE_SIGN, NEGOTIATE_KEY_EXCHANGE, NEGOTIATE_VERSION

CVE-2019-1338 –运用LMv2客户端

大多数客户端在NTLM认证流过程当中并不会发送LM response,由于一般以为LM response的平安性不如NTLM。然则依然有许多发送LM responses的客户端,比方MacOS或Linux版本的Firefox。而且由于在LMv2相应上提议暴力破解进击并不庞杂,因而研讨人员以为发送含有NTLMv2 response的LMv2 response的效果要越发严峻一些。假如客户端发送这两种相应,进击者就能够在绕过NTLM relay解决计划的同时中继认证。

手艺细节

客户端发送LMv2 & NTLMv2 responses时,目的服务器会依靠NTLMv2 response的 av_pairs值来作为平安特性。但当Domain Controller(域掌握器)吸收相应时,只会考证LMv2 response。也就是说中继者能够进击发送LMv2 & NTLMv2 responses的客户端,在中继认证的同时,修正NTLMv2 response的部分内容。

题目的关键在于目的服务器依靠NTLMv2 response的值,但假如LMv2 response存在的话,DC不会考证NTLMv2 response。

影响

这两个破绽以至能够激发全部收集被掌握。比方,实行NTLM relay到没有强迫实行SMB署名的敏感服务器,或实行NTLM relay到域掌握器上的LDAP来修正敏感的AD对象。

所以默许设置的AD客端都遭到此类进击的影响。那些不阻拦LM response的构造和依然发送默许相应的客户端也遭到此类进击的影响。

庇护计划

研讨人员给出了以下几种减缓的步伐:

· 强迫实行NTLM解决计划。为了更好地应对NTLM relay进击,须要在一切相干服务器上启用服务器署名和EPA。

· 打补丁。确保体系运用最新的平安更新。

· 运用高等NTLM relay检测和防备手艺。

· 一些NTLM客户端运用的是弱NTLM变化。这使收集处于NTLM relay进击的风险中。发起监控收集中的NTLM流量,并尝试限定不平安的NTLM流量。

· 消除发送LM response的客户端,设置GPO 收集平安为:LAN Manager认证级别以谢绝LM response。

· 由于NTLM存在NTLM relay,暴力破解和其他破绽。因而,研讨人员发起不要运用NTLM或许只管削减收集中NTLM的运用。

本文翻译自:https://www.preempt.com/blog/drop-the-mic-2-active-directory-open-to-more-ntlm-attacks/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明NTLM进击两例
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址