חוקרי אבטחה ישראליים חושפים: כך שברנו את פרוטוקול ההזדהות של Windows

חוקרים ישראליים גילו פרצת אבטחה שמאפשרת לתוקפים להריץ קוד זדוני מרחוק על כל מכונה המריצה Windows או לאשר כניסה לשרתי Exchange או ADFS. במיקרוסופט מיהרו לתקן את הפרצה

מאת: מרינה סימקוב וירון זינר

בשנה האחרונה התמקד צוות המחקר שלנו ב-NTLM – אחד מפרוטוקולי ההזדהות של Windows. למרות קיומו של פרוטוקול חדש (ומאובטח) יותר – NTLM, Kerberos עדיין זמין ברוב הארגונים המשתמשים ב-Active Directory – מוצר שפותח על ידי מיקרוסופט ומציע לארגונים דרך נוחה לניהול הרשת הנמצא בשימוש ברוב הרשתות היום. ידענו שכיוון שמדובר בפרוטוקול ישן יותר, כנראה שיש בו לא מעט בעיות שטרם התגלו, אך גם אנחנו לא תיארנו לעצמנו את גודל הבעיה.

פוטנציאל להשלכות חמורות

אחת ההתקפות הידועות כנגד הפרוטוקול היא מתקפת NTLM Relay המאפשרת העברת הודעות הזדהות מלקוח שהתחבר לתוקף לכל שרת אחר ברשת ולהריץ קוד בעזרת ההרשאות של הלקוח המקורי. כיוון שמדובר בהתקפה שיכולות להיות לה השלכות חמורות, מיקרוסופט פיתחה במשך השנים מנגנוני הגנה שונים כדי למנוע מתוקפים להעביר הודעות הזדהות ב-NTLM לשרת אחר הכוללים:

  • חתימת Session
  • MIC (Message Integrity Code)
  • EPA (Enhanced Protection for Authentication)

כחלק מהמחקר, הצלחנו לעקוף את כל מנגנוני ההגנה הללו ולתקוף כל שרת ברשת באמצעות מתקפת NTLM Relay. המידע המלא והמפורט נמצא כאן.

החולשה המשמעותית ביותר שמצאנו מאפשרת לעקוף את מנגנון החתימה, שנועד למנוע מתוקפים לפתוח ערוץ תקשורת מול שרתים רגישים בגלל חוסר יכולתם להשיג את מפתח החתימה הנדרש. הראינו כיצד תוקפים יכולים להשיג את מפתח החתימה עבור כל הזדהות NTLM ברשת ולתקוף כל שרת ברשת שאוכף חתימה – כולל Domain Controllers הנחשבים לשרתים הרגישים ביותר בארגון. פרט לחולשה זו, בשנה האחרונה שלחנו למיקרוסופט עוד 5 חולשות שונות שמצאנו בפרוטוקול, חלקן תוקנו וחלקן דרשו תיקונים בהיקף רחב יותר ויתוקנו בחודשים הקרובים.

בעקבות חשיבות הממצאים, החלטנו לשלוח את תוצאות המחקר שלנו לשניים מכנסי האבטחה הגדולים ביותר בשנה המתקיימים בווגאס: BlackHat USA, DEFCON. לשמחתנו, חברי ה-Review Board הסכימו איתנו לגבי משמעות התוצאות והתקבלנו להרצות בשני הכנסים, שכל אחד בעל אופי שונה לגמרי. ב-BlackHat נתקלנו בלא מעט בכירים מחברות גדולות, לעומת זאת את DefCon פוקדים לא מעט האקרים נלהבים עצמאיים.

הדרך שהובילה אותנו לגילויי החולשות למעשה התחילה בפיתוח מנגנון זיהוי למתקפות NTLM Relay שפיתחנו עבור המוצר. מדובר במנגנון זיהוי דטרמיניסטי ראשון מסוגו עבור מתקפות אלו (שאר המוצרים המנסים לזהות התקפה מסוג זה מסתמכים על אמצעים יוריסטיים המחפשים אנומליות בגישות באמצעות NTLM – דבר המספק פתרון חלקי בלבד לבעיה), אותו הצגנו ב-BlackHat. כחלק מפיתוח מנגנון ההגנה נכנסנו לקרביים של הפרוטוקול, דבר שאפשר לנו להבין אותו (ולנצל את החולשות שבו) הרבה יותר טוב.

המסקנה העיקרית מהמחקר שלנו היא כמה שהפרוטוקול הזה הוא לא מאובטח. למרות התיקונים לחולשות הספציפיות שדיווחנו, יש לנו תחושה שמדובר בפלסטרים בלבד ושהפצע הזה ימשיך לדמם ממקומות שונים עוד הרבה זמן (ייתכן שאנחנו נעזור לו…). הדרך הכי טובה לפתור את הבעיה היא להמנע משימוש ב-NTLM, אך לצערנו פתרון זה לא ישים ברוב הארגונים בגלל מוצרים ישנים שיפסיקו לעבוד ללא תמיכה בפרוטוקול זה. במקרה כזה הדברים שניתן לעשות כוללים: שימוש בגרסה החדשה של הפרוטוקול – NTLMv2 הנחשבת בטוחה יותר, הפעלת מנגנוני הגנה על כמה שיותר שרתים ברשת הכוללים אכיפת חתימת Session ו-EPA וכמובן עדכוני אבטחה לכלל השרתים בארגון. עוד פרטים טכניים ניתן לקרוא כאן

ממיקרוסופט נמסר כי החברה פרסמה ביוני עדכוני סקיוריטי, וזאת על מנת להגן על ארגונים מ- 
CVE 2019-1040 ו-CVE 2019-1019, והיא ממליצה ללקוחות לאפשר עדכונים אוטומטיים על מנת להבטיח שהמערכות שלהם מוגנות.

הכותבים הם חוקרי אבטחת מידע בחברת Preempt

 

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

6 תגובות על "חוקרי אבטחה ישראליים חושפים: כך שברנו את פרוטוקול ההזדהות של Windows"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
וואוו מטורף
Guest

וואוו מטורף

אדם
Guest

קרברוס “חדש”?! חחחח את ההסמכות שלי עשיתי כשהוא היה זמין עוד במערכת הפעלה 2003 ז”ל…
פירות אבטחה בארגוני עולם שלישי במקרה הכי טוב

אלכס
Guest

חדש *יותר*…

דור
Guest

כתבה של ילדים עבודה בעיניים היו פה 2 בארץ שעשו כסף מהעולם הזה לכו תקראו תעשו שיעורי בית כתב בשקל

פאול
Guest

לצערי לדור יש רמת כתיבה של כיתה א’.

Alex
Guest

“Azure ATP security alert is triggered when NTLM authentication requests suspected of exploiting security vulnerability identified in CVE-2019-1040 are made against a domain controller in the network.”

https://docs.microsoft.com/en-us/azure-advanced-threat-protection/atp-lateral-movement-alerts#suspected-ntlm-authentication-tampering-external-id-2039

wpDiscuz

תגיות לכתבה: