A Google nemrég közzétett egy adathalmazt, amely bizonyítja, hogy egy évtizedek óta működő Windows bejelentkezési rendszer órák alatt feltörhető, veszélyeztetve ezzel a világon bárhol a vállalatok hálózatait. A közelmúltban megjelent riportok rávilágítanak egy súlyos biztonsági problémára: a Microsoft Windows NTLMv1 hitelesítési protokoll…
Évtizedek óta világítjuk meg azt a tény,t hogy : Senki nincs biztonságban, aki Windows-t használ!
Gondoljatok bele, ez a cég saját magát auditálja! Nevetséges olyan szabályozások tükrében mint a NIS2!
A Google által létrehozott „rainbow table” eszköz (is) felfedheti a gyenge védelmű rendszerek sebezhetőségét. Ez az elemzés áttekinti, mit jelent mindez a rendszergazdák és felhasználók számára, miért veszélyes az NTLMv1 használata, és milyen lépéseket érdemes megtenni a kockázat mérséklésére.
A Microsoft Net-NTLMv1 egy hitelesítési protokoll, amelyet régebbi Windows rendszerekben használnak, de dokumentált gyengeségei 1999-re nyúlnak vissza. A 2010-es évek elejére a biztonsági kutatók már valós biztonsági réseket mutattak be!
Amikor egy Windows rendszerbe bejelentkezel, a valódi jelszavad helyett egy úgynevezett hash — egyfajta digitális ujjlenyomat — kerül átvitelre. Ha egy támadó valahogyan megszerzi ezt a hash-t (például lehallgatja a hálózatot vagy feltör egy gépet), megpróbálja visszafejteni, melyik jelszóhoz tartozik. Ahelyett, hogy egyesével kipróbálná az összes lehetséges jelszót a célrendszeren (ami lassú és feltűnő), előre kiszámított listákat használ: ezek a rainbow table-ök olyan párokat tartalmaznak, hogy „ez a jelszó ↔ ez a hash”. Az NTLMv1 protokoll régi és gyengébb kriptográfiát alkalmaz, ezért ezekkel a táblákkal és modern, nagy teljesítményű számítógépekkel a hash-ekből jó eséllyel ki lehet találni a jelszót, különösen ha az egyszerű vagy gyakori. Ha sikerül a jelszót visszanyerni, a támadó beléphet a fiókba, további rendszereket kompromittálhat és károkat okozhat. Active Directory környezetben NTLMv1 még előfordulhat, különösen régi vagy nem megfelelően konfigurált rendszereken, de a modern ajánlások NTLMv2-re vagy Kerberosra való átállást írják elő; ezért célszerű auditálni az AD-t, eltávolítani vagy letiltani az NTLMv1-et, és bevezetni erős jelszó- és többfaktoros hitelesítést.
Ajánlott lépések (rövid, gyakorlati útmutató)
- Azonosítás: Keresse meg a hálózatban az NTLMv1 használatát — auditálja a domain controller és egyéb szolgáltatások konfigurációját.
- Tiltás: Ha lehetséges, tiltsa le az NTLMv1 protokollt a tartományi és helyi szinten (Group Policy, registry beállítások).
- Korszerűsítés: Váltson NTLMv2-re vagy, még jobb, Kerberos alapú hitelesítésre.
- Jelszópolitika: Követeljen erős, hosszú, egyedi jelszavakat; fontolja meg a többfaktoros hitelesítést (MFA) minden érzékeny beléptetésnél.
- Hálózati védelem: Használjon titkosított csatornákat (TLS), minimalizálja a felesleges szolgáltatások és portok kitettségét.
- Monitoring és válasz: Aktiváljon és figyeljen auditlogokat; legyen incidenskezelési terv kompromittálás esetére.
- Képzés: Oktassa a felhasználókat a jelszóbiztonságról és a gyanús tevékenységek jelentéséről.
A lényeg!
A Linux alapú (SAMBA) rendszerekben több mint 10 éve tiltott, és sebezhetőnek van jelölve az NTMLv1!
A Google által bemutatott vagy említett rainbow table-ek figyelmeztetésként szolgálnak: az NTLMv1 továbbra is kritikus gyenge pont marad, és a modern számítási kapacitás gyorsan kihasználja ezeket a hiányosságokat. Rendszergazdáknak és szervezeteknek azonnali, tervezett átállást kell végrehajtaniuk biztonságosabb hitelesítési megoldásokra, és erősíteniük kell jelszó- és hozzáféréskezelési gyakorlataikat.
Hozzászólások lezárva