近日，外媒報導了微軟NTLM協議中存在的新漏洞，或導致在任何Windows計算機上執行遠程代碼、或對任何支持Windows集成身份驗證（WIA）的Web服務器（如Exchange和ADFS）進行身份驗證。具體說來是，Perrmpt研究小組發現了由三個邏輯缺陷組成的兩個嚴重漏洞，且所有Windows版本都易受到攻擊影響。更糟糕的是，新漏洞可繞過微軟此前已部署的緩解措施。

NTLM中繼流程示意（來自：HelpNetSecurity，via MSPU）

據悉，NTLM Relay是Active Directory環境中最常用的攻擊技術之一。雖然微軟此前已經開發了幾種緩解NTLM中繼攻擊的緩解措施，但Preempt研究人員發現其仍然存在隱患：

● 消息完整性代碼（MIC）字段可確保攻擊者不會篡改NTLM 消息，但研究人員發現的旁路攻擊，可以卸下MIC 的保護，並修改NTLM 身份驗證流程中的各個字段，如簽名協商。

● SMB會話簽名可防止攻擊者轉發NTLM身份驗證消息以建立SMB和DCE / RPC會話，但旁路攻擊仍能將NTLM身份驗證請求中繼到域中的任何服務器（包括域控制器），同時建立簽名會話以執行遠程代碼。如果中繼身份驗證屬於特權用戶，則會對全域造成損害。

● 增強型身份驗證保護（EPA）可防止攻擊者將NTLM 消息轉發到TLS 會話，但攻擊者仍可繞過並修改NTLM 消息，以生成合法的通道綁定信息。這使得攻擊者可利用用戶權限連接到各種Web 服務，並執行讀取用戶電子郵件（通過中繼到OWA 服務器）、甚至連接到雲資源（通過中繼到ADFS 服務器）等各種操作。

Preempt負責地向微軟公司披露了上述漏洞，後者在周二的時候發布了CVE-2019-1040和CVE-2019-1019補丁來應對這些問題。

然而Preempt 警告稱，這麼做還不足以充分應對NTLM Relay 帶來的安全隱患，因為管理員還需要對某些配置加以更改，才能確保有效的防護。

下面是管理員的建議操作：

（1）執行修補程序- 確保為工作站和服務器打上了所需的補丁。

（2）強制SMB 簽名，放置攻擊者發起更簡單的NTLM 中繼攻擊，請務必在網絡中的所有計算機上啟用SMB 簽名。

（3）屏蔽NTLMv1 – 該版本相當不安全，建議通過適當的組策略來完全封禁。

（4）強制執行LDAP / S 簽名- 要防止LDAP 中的NTLM 中繼，請在域控制器上強制執行LDAP 簽名和LDAPS 通道綁定。

（5）實施EPA – 為防止Web 服務器上的NTLM 中繼，請強化所有Web 服務器（OWA / ADFS），僅接受使用EPA 的請求。

（6）減少NTLM 的使用- 因為即便採用了完整的安全配置，NTLM 也會比Kerberos 帶來更大的安全隱患，建議在不必要的環境中徹底棄用。