HackerNews 编译,转载请注明出处:
网络安全研究人员发现,旨在禁用NT LAN Manager (NTLM) v1的Microsoft Active Directory组策略可通过配置错误被轻易绕过。
Silverfort研究员Dor Segal在与The Hacker News分享的一份报告中表示:“本地应用程序的一个简单配置错误即可覆盖组策略,从而有效抵消了旨在阻止NTLMv1身份验证的组策略。”
NTLM是一种仍在广泛使用的机制,特别是在Windows环境中,用于跨网络对用户进行身份验证。该旧版协议因向后兼容性要求而未被删除,但自2024年年中被弃用。
去年年末,Microsoft正式从Windows 11 24H2版本和Windows Server 2025中移除了NTLMv1。虽然NTLMv2引入了新的缓解措施,使得中继攻击更难执行,但该技术仍受到多个安全漏洞的困扰,这些漏洞已被威胁行为者积极利用来访问敏感数据。
利用这些漏洞的目的是迫使受害者对任意端点进行身份验证,或将身份验证信息中继到易受攻击的目标,并代表受害者执行恶意操作。
Segal解释道:“组策略机制是Microsoft在整个网络中禁用NTLMv1的解决方案。LMCompatibilityLevel注册表项可阻止域控制器评估NTLMv1消息,并在使用NTLMv1进行身份验证时返回错误密码错误(0xC000006A)。”
然而,Silverfort的调查发现,通过利用Netlogon远程协议(MS-NRPC)中的一项设置,仍有可能绕过组策略并使用NTLMv1身份验证。
具体而言,它利用了名为NETLOGON_LOGON_IDENTITY_INFO的数据结构,该结构包含一个名为ParameterControl的字段,该字段又具有一个配置选项,允许“在仅允许NTLMv2(NTLM)的情况下使用NTLMv1身份验证(MS-NLMP)”。
Segal表示:“这项研究表明,本地应用程序可以被配置为启用NTLMv1,从而抵消在Active Directory中设置的组策略LAN Manager身份验证级别的最高级别。”
“这意味着,组织认为通过设置此组策略是在做正确的事,但实际上仍被配置错误的应用程序绕过。”
为减轻NTLMv1带来的风险,必须在域中为所有NTLM身份验证启用审核日志,并留意请求客户端使用NTLMv1消息的易受攻击的应用程序。当然,还建议组织保持其系统更新。
此次发现之前,安全研究人员Haifei Li曾报告了一项在野外发现的PDF工件中的“零日行为”,在某些条件下,使用Adobe Reader或Foxit PDF Reader打开这些工件可能会泄露本地net-NTLM信息。Foxit Software已在Windows的2024.4版本中解决了此问题。
此次披露之际,HN Security研究员Alessandro Iandoli还详细介绍了如何绕过Windows 11(24H2版本之前)中的各种安全功能,从而在内核级别实现任意代码执行。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
