Microsoft Patches Critical Vulnerabilities in NTLM

Microsoft ออกแพตช์ประจำเดือนมิถุนายน 2019 แก้ไขช่องโหว่กว่า 90 ช่องโหว่ รวมถึง 2 ช่องโหว่ในระดับ Critical ที่มีผลกระทบกับโปรโตคอล NTLM

CVE-2019-1040 และ CVE-2019-1019 คือช่องโหว่ภายใน NTLM ที่ทำให้ผู้โจมตีข้ามกลไกการตรวจสอบสิทธิ์ของ NTLM ได้ โดยมีผลกระทบต่อ windows ทุกรุ่น ผู้โจมตีที่ใช้งานช่องโหว่นี้จะสามารถรันโค้ดอันตรายบนเครื่อง windows หรือเข้าถึง HTTP server ที่รองรับ Windows Integrated Authentication (WIA) ซึ่งจะรวมถึง Exchange และ ADFS

NTLM นั่นอาจถูกโจมตีจาก relay attacks ได้ ทำให้ Microsoft เพิ่มกลไกในการป้องกันการโจมตีดังกล่าว แต่นักวิจัยจาก Preempt พบวิธีที่จะข้ามกลไกการป้องกันได้แก่ Message Integrity Code (MIC) SMB Session Signing และ Enhanced Protection for Authentication (EPA) ได้ ทำให้สามารถทำการโจมตีด้วย relay attacks สำเร็จได้

ผู้ใช้ควรทำการ update แพตช์ให้เป็นปัจจุบัน ทำการตั้งค่าบนเครื่อง server ให้ปลอดภัย ได้แก่บังคับใช้SMB Signing, บล็อก NTLMv1, บังคับใช้ LDAP/S Signing และบังคับใช้ EPA และลดการใช้งาน NTLM ในส่วนที่ไม่จำเป็น

ที่มา:securityweek