最近,CERT协调中心(CERT/CC)发布了一个漏洞提示,警告Microsoft Exchange 2013及之后的版本很容易受到NTLM中继攻击,允许攻击者可以利用该漏洞获得域管理权限,进而发起攻击。所以,依赖Microsoft Exchange的组织目前面临严重数据泄露的风险。这种攻击尤其令人担忧,因为它可以获得域控制器的权限,而域控制器本质上相当于一个单位的门卫。因为域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
由于篇幅所限,我们在本文中会简化攻击的一些细节,如果你要获得完整的技术细节,请参见原文。
攻击者如何利用Microsoft Exchange
由于这个漏洞的出现,攻击者利用Exchange Web服务API的一个名为“PushSubscriptionRequest”的函数,该函数可以使Exchange服务器连接到任意网站。然后,攻击者将通过NTLM身份验证中继到Exchange服务器,或者直接中继到域控制器。因为Exchange Windows权限组可以访问域对象,所以他们可以从Exchange获得权限。如果LDAP服务器签名未启用,则中继的NTLM凭证将在LDAP会话中使用,如果攻击者希望利用CVE-2017-8563(windows提权漏洞),则在LDAP会话中使用LDAPS。在LDAP/S会话中,攻击者可以获得域复制权限,稍后将使用这些权限启动DCSync攻击并危及域中的所有帐户。
由于大多数组织依赖Microsoft Exchange 2013和更新的版本进行日常业务,因此潜在的黑客攻击的影响应该会持续很长一段时间。有了窃取管理权限和访问域控制器的能力,攻击者就可以渗透到域控制器所服务的所有服务器、工作站、用户和应用程序。有了权限访问权限,它们基本上可以对Active Directory管理的所有系统和帐户进行任何类型的更改,从而破坏整个网络。
缓解策略
虽然Dirk-jan Mollema(此漏洞的发现者)的研究为防范利用Microsoft Exchange漏洞的NTLM中继攻击提供了很好的方法,但他在研究中却忽略了一个关键点。他鼓励用户“启用LDAP签名,并和LDAP通道绑定,以防止分别转发到LDAP和LDAPS”。虽然在理论上,这是一种正确的方法,但考虑到当前使用的企业软件部署种类繁多且不支持LDAP通道绑定,这种方法并不总是可行的。
所以,每个组织实际上都应该采取积极的、持久的战略来阻止这类型的威胁。这些策略不仅可以保护你免受Microsoft Exchange当前的漏洞攻击,还可以保护你免受其他许多利用NTLM身份验证的攻击。
1.仅启用LDAP签名和通道绑定是不够的,这种攻击非常有效的原因之一是,默认情况下LDAP不受NTLM中继保护。事实上,2017年发现的CVE-2017-8563证明,这种方法几乎不可能保护LDAPS。此外,配置LDAP签名非常困难,因为一些软件包不支持安全配置。如果你想知道你的网络是否安全,不受LDAPS上的NTLM中继的影响,你可以运行免费的Preempt Inspector应用程序来查找。
2.监控网络流量并限制NTLM,我们已经写了很多关于NTLM相关风险的文章。NTLM的本质就是增加了NTLM中继的风险,因为它非常难以缓解,并自带密码破解的风险。虽然NTLM在大多数网络中不能完全删除,但应该尽可能地减少和限制它。Preempt Platform提供了对身份验证协议活动(NTLM、DCE/RCP、LDAP和Kerberos)活动和异常的完全可见性和分析能力,还提供了应用动态策略阻止NTLM活动的能力。Preempt可以帮助组织在控制协议使用方面发挥主动作用,降低凭据转发和密码破解以及其他基于凭证的攻击(如Pass-the-Hash和Golden Ticket)的风险,Preempt现在是唯一一家实时处理NTLM协议解密以进行威胁检测和实时预防的公司。
3.跟踪域管理权限,攻击之所以能够实现的另一个关键是,在许多场景中,:Exchange服务器被授予域根对象的特殊权限。在Preempt Platform,我们把这样的帐户称为Stealthy Admins(隐形管理员)。隐形管理员是由授予用户的各种权限(委托、复制权限等)创建的。Preempt Platform可以分析网络中的所有帐户,并向管理员发出任何与所有隐形管理员帐户相关的警报。
4.持续监控DCSync,最后的攻击是由执行DCSync攻击的用户完成的,因为他们具有进行域复制的权限。Preempt通过检测权限访问凭证的滥用和防止关键用户信息的数据泄露,帮助用户阻止DCSync攻击。
部署了Preempt的用户会一直受到NTLM中继攻击的保护,Preempt Platform能够检测LDAP上的攻击,允许用户防止恶意使用特权凭据来访问域控制器。通过采用这种方法,将不会有任何秘密管理员破坏用户的Active Directory管理的系统和帐户。
Preempt行为防火墙可以将每个用户、账户、网络设备予以实时的安全评分,并对威胁进行适度的响应。它可以学习每个用户和设备的正常行为基线,在尝试、权限提升、攻击行为的蛛丝马迹中发现异常的用户、恶意的内部用户和攻击者。
用户行为分析(UEBA)近年来发展速度很快,一些UEBA厂商凭借检测能力上的优势,正在改变现有的网络安全格局,比如Preempt公司,它标榜自己是“业界首个行为防火墙”。