Sign in Subscribe
Cibersegurança

Pesquisadores alertam sobre "bypass" do NTLMv1 via política do AD

Pesquisadores descobrem falha de configuração em política de grupo do AD feita para desabilitar o NTLMv1, que pode ser ignorada, permitindo que autenticações NTLMv1 persistam.

Ricardo Maganhati

Ricardo Maganhati

2 min read
Pesquisadores alertam sobre "bypass" do NTLMv1 via política do AD
Créditos da imagem: https://www.crowe.com/cybersecurity-watch/ntlm-relay-attacks

A empresa de cibersegurança, Silverfort, descobriu uma configuração incorreta que pode “bypassar” uma determinada política de grupo do Active Directory (AD) feita para desabilitar o NTLMv1, permitindo assim que autenticações por este protocolo inseguro continuem funcionando.

Qual é o problema com o NTLMv1?

Ele é um protocolo de autenticação desatualizado com vulnerabilidades de segurança conhecidas, tornando-o um alvo principal para invasores. A vulnerabilidade, descoberta pelo pesquisador sênior de segurança Dor Segal, alertou que mesmo que as empresas implementem a política para desativar o NTLMv1 estarão expostas a autenticações por meio deste protocolo.

Certas configurações locais podem ignorar esta restrição feita na política de grupo ao solicitar especificamente a autenticação NTLMv1. Invasores podem então explorar esta vulnerabilidade para interceptar o tráfego, quebrar credenciais de usuários e obter acesso não autorizado ao sistema. Além disso, ao explorar as vulnerabilidades do protocolo em questão, poderão se mover lateralmente ou aumentar seus privilégios, expondo as empresas a riscos significativos.

É importante observar que clientes (estações de trabalho) Windows com a configuração LMCompatibilityLevel 3 e posterior ativada não gerarão o tráfego NTLMv1 se solicitado. No entanto, clientes não Windows não são protegidos. Se um sistema solicitar uma mensagem NTLMv1 de um cliente não Windows, o Controlador de Domínio poderá aprovar a autenticação e gerar uma chave de sessão”, observaram os pesquisadores em um post.

Créditos da imagem: https://www.silverfort.com/blog/ntlmv1-bypass-in-active-directory-technical-deep-dive/ | Levantamento do uso da autenticação via NTLM no AD atualmente

Olhando na imagem acima, temos alguns pontos interessantes:

  • Em ambientes que usam o AD, 64% das contas de usuário regularmente se autenticam via NTLM
  • 48% das contas se autenticam tanto em NTLM e Kerberos
  • 36% das contas realizam mais de 80% de autenticação via Kerberos

Mesmo com a Microsoft reconhecendo o problema e ter anunciado (em 2023…) planos para remover completamente o suporte ao NTLMv1 em versões futuras do Windows, as empresas ainda precisam tomar medidas proativas para mitigar o risco. Estas medidas incluem habilitar logs de auditoria para autenticação NTLM, identificar sistemas/aplicativos que utilizem o NTLMv1 e implementar métodos de autenticação modernos, via SSO ou Kerberos, a fim de substituir o NTLMv1.

Não é de hoje que esta versão do NTLM é comentada no meio da segurança da informação. O Mimikatz come solto!

Créditos:

https://hackread.com/researchers-ntlmv1-bypass-active-directory-policy/

https://www.silverfort.com/blog/ntlmv1-bypass-in-active-directory-technical-deep-dive/

Read more