Търсене
Close this search box.

Нова функция на Windows 11 блокира NTLM-базирани атаки през SMB

Microsoft добави нова функция за сигурност в Windows 11, която позволява на администраторите да блокират NTLM през SMB, за да предотвратят атаки от типа pass-the-hash, NTLM relay или кракване на пароли.

Това ще промени досегашния подход, при който преговорите за удостоверяване чрез Kerberos и NTLM (т.е. LM, NTLM и NTLMv2) с целевите сървъри се захранваха от Windows SPNEGO.

Когато се свързва с отдалечен SMB дял, Windows ще се опита да договори удостоверяване с отдалечения компютър, като извърши отговор на NTLM предизвикателство.

Този отговор на NTLM предизвикателство обаче ще съдържа хешираната парола на влезлия в системата потребител, който се опитва да отвори SMB споделянето, която след това може да бъде прихваната от сървъра, хостващ споделянето.

След това тези хешове могат да бъдат разбити, за да се извлече паролата в обикновен текст, или да се използват в NTLM Relay и pass-the-hash атаки, за да се влезе като потребител.

Тази нова функция позволява на администратора да блокира изходящия NTLM през SMB, като предотвратява изпращането на хешираната парола на потребителя към отдалечен сървър, което ефективно предотвратява тези видове атаки.

„С тази нова опция администраторът може умишлено да блокира Windows да предлага NTLM чрез SMB“, обясняват Аманда Ланговски и Брандън Лебланк от Microsoft.

„Нападател, който подмами потребител или приложение да изпрати отговори на NTLM предизвикателство до злонамерен сървър, вече няма да получава никакви NTLM данни и няма да може да използва груба сила, да разбие или да предаде парола, тъй като те никога няма да бъдат изпратени по мрежата.“

Това допълнително ниво на сигурност премахва необходимостта от пълно спиране на използването на NTLM в рамките на операционната система.

Започвайки с Windows 11 Insider Preview Build 25951, администраторите могат да конфигурират Windows да блокира изпращането на NTLM данни през SMB при отдалечени изходящи връзки с помощта на групова политика и PowerShell.

Те могат също така изцяло да изключат използването на NTLM в SMB връзки с помощта на NET USE и PowerShell.

„По-късно издание на Windows Insider ще позволи на администраторите да контролират блокирането на SMB NTLM към конкретни сървъри със списък с разрешения“, добави Нед Пайл, главен програмен мениджър в инженерната група на Windows Server, в отделна публикация в блога.

„Клиентът ще може да посочва SMB сървъри, които поддържат само NTLM – или като нечленуващи в домейни, или като продукти на трети страни – и да разрешава връзката.“

Друга нова опция, налична от тази компилация, е управлението на SMB диалекти, което позволява на администраторите да блокират свързването на по-стари и несигурни устройства с Windows, като изключат използването на по-стари SMB протоколи в рамките на своята организация.

 

Изискване за подписване на SMB за блокиране на атаки

С пускането на Windows 11 Insider Preview Build 25381 в канала Canary, Redmond започна да изисква SMB подписване (известно още като подписи за сигурност) по подразбиране за всички връзки, за да се защити от NTLM релейни атаки.

При тези атаки злонамерени извършители принуждават мрежови устройства, включително контролери на домейни, да се удостоверяват срещу сървъри под техен контрол, за да поемат пълен контрол над домейна на Windows, като се представят за тях.

SMB подписването е механизъм за сигурност на SMB, който играе решаваща роля за осуетяване на злонамерени заявки за удостоверяване чрез проверка на самоличността на подателя и получателя чрез използване на вградени подписи и хешове, приложени към всяко съобщение.

Той е наличен, като се започне от Windows 98 и 2000, и е актуализиран в Windows 11 и Windows Server 2022, за да подобри защитата и производителността чрез значително ускоряване на скоростта на криптиране на данни.

Тези актуализации са част от по-широка инициатива за повишаване на сигурността на Windows и Windows Server, както беше подчертано в предишни съобщения, направени през 2022 г.

През април 2022 г. Microsoft направи значителна стъпка, когато обяви последната фаза на деактивиране на тридесетилетния протокол за споделяне на файлове SMB1 в Windows за Windows 11 Home Insiders.

Продължавайки тази траектория, пет месеца по-късно компанията представи усъвършенствани мерки за защита срещу атаки с груба сила, въвеждайки ограничител на скоростта на SMB удостоверяване, предназначен да намали въздействието на неуспешните опити за входящо NTLM удостоверяване.

 

 

Източник: По материали от Интернет

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
Бъдете социални
Още по темата
17/04/2024

Приложението Copilot на Win...

Microsoft твърди, че новото приложение Copilot,...
13/04/2024

На федералните агенции на С...

В четвъртък Агенцията за киберсигурност и...
11/04/2024

CISA нарежда на агенциите, ...

CISA издаде нова спешна директива, с...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!