网络安全研究人员发现,旨在禁用 NT LAN 管理器(NTLM)v1 的微软 Active Directory 组策略可以被错误配置绕过。
Silverfort 研究人员 Dor Segal 在与 The Hacker News 分享的一份报告中说:“内部部署应用程序中的一个简单错误配置就可以覆盖组策略,从而有效地否定旨在阻止 NTLMv1 身份验证的组策略。”
NTLM 仍是一种广泛使用的机制,尤其是在 Windows 环境中,用于跨网络验证用户身份。虽然由于向后兼容性的要求,该传统协议并未被删除,但从 2024 年中期开始,该协议已被弃用。
去年年底,微软正式从 Windows 11、24H2 版和 Windows Server 2025 中移除 NTLMv1。虽然 NTLMv2 引入了新的缓解措施,使中继攻击更难实施,但该技术一直受到几个安全漏洞的困扰,威胁者积极利用这些漏洞访问敏感数据。
利用这些漏洞的目的是胁迫受害者对任意端点进行身份验证,或针对易受攻击的目标转发身份验证信息,并代表受害者执行恶意操作。
Segal 解释说:“组策略机制是微软在整个网络中禁用 NTLMv1 的解决方案。LMCompatibilityLevel注册表键可以防止域控制器评估NTLMv1信息,并在使用NTLMv1进行身份验证时返回错误密码错误(0xC000006A)。”
然而,Silverfort 的调查发现,利用网登远程协议(MS-NRPC)中的一个设置,可以规避组策略,仍然使用 NTLMv1 身份验证。
具体来说,它利用了一个名为 NETLOGON_LOGON_IDENTITY_INFO 的数据结构,其中包含一个名为 ParameterControl 的字段,而该字段的配置为 “当只允许 NTLMv2 (NTLM) 时,允许 NTLMv1 身份验证 (MS-NLMP)。”
“这项研究表明,内部部署应用程序可以配置为启用 NTLMv1,从而否定 Active Directory 中设置的组策略 LAN 管理器身份验证级别的最高级别,”Segal 说。
“这意味着,企业认为他们通过设置此组策略做了正确的事情,但它仍然被配置错误的应用程序绕过了。”
要降低 NTLMv1 带来的风险,必须启用域中所有 NTLM 身份验证的审计日志,并密切关注要求客户端使用 NTLMv1 信息的易受攻击应用程序。毋庸置疑,我们还建议企业保持系统最新。
在最新发现之前,安全研究员李海飞(音译)曾报告说,在野外发现的 PDF 文件中存在一种 “零日行为”,在特定条件下用 Adobe Reader 或福昕 PDF Reader 打开这些文件时,可能会泄露本地 net-NTLM 信息。福昕软件已通过 Windows 版本 2024.4 解决了这一问题。
HN安全研究员Alessandro Iandoli详细介绍了如何绕过Windows 11(24H2之前的版本)中的各种安全功能,在内核级实现任意代码执行。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容