Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Set 04, 2023 Francesco Guiducci Approfondimenti, Hacking, In evidenza, RSS, Security bITs, Software, Tecnologia 0
Nell’ambito delle infrastrutture IT, la sicurezza è un aspetto cruciale che richiede una costante attenzione. Uno dei protocolli critici da valutare e, in alcuni casi (se possibile), disabilitare è il NTLM (NT LAN Manager). Questo protocollo di autenticazione, introdotto da Microsoft negli anni ’90, è ancora ampiamente utilizzato, ma presenta alcune vulnerabilità significative che possono mettere a rischio la sicurezza delle reti aziendali. In questo articolo cercheremo di capire l’importanza di disabilitare il protocollo NTLM e vedremo quali sono le alternative più sicure disponibili.
NTLM (NT LAN Manager) è un protocollo di autenticazione di rete utilizzato principalmente nei sistemi operativi Windows. È stato introdotto da Microsoft come successore del protocollo LAN Manager (LM) e offre una modalità di autenticazione basata su password. Il protocollo NTLM viene spesso utilizzato per consentire l’accesso a risorse di rete, come file condivisi e stampanti, in ambienti aziendali.
Tale protocollo basa la sua sicurezza sul fattore “sfida”, un meccanismo che possiamo riassumere con i seguenti punti:
Nonostante la sua diffusione, il protocollo NTLM presenta diverse vulnerabilità che lo rendono un bersaglio primario per gli attacchi informatici. Alcune delle principali vulnerabilità includono:
Pass-the-Hash attacks (PtH): NTLM memorizza le password degli utenti come hash, invece di memorizzarle in chiaro. Questo rende possibile per gli aggressori rubare gli hash delle password e utilizzarli per accedere alle risorse di rete senza conoscere le password effettive. Questo tipo di attacco viene chiamato Pass-the-Hash (PtH).
Relay attacks: Il protocollo NTLM non offre una protezione adeguata contro gli attacchi di relay, in cui un aggressore può sfruttare la comunicazione tra client e server per eseguire attacchi di tipo man-in-the-middle e impersonare l’utente legittimo.
Debolezza delle password: Il protocollo NTLM supporta solo l’autenticazione basata su password, senza fornire un meccanismo per l’utilizzo di metodi di autenticazione più robusti come l’autenticazione a due fattori o l’utilizzo di certificati digitali. NTLM infatti non supporta l’MFA
Se è vero che il protocollo NTLM dovrebbe essere disabilitato, dobbiamo considerare che in alcuni casi non è possibile.
Esso, infatti, viene mantenuto ad esempio quando:
Inoltre, dobbiamo assicurarci che il protocollo non sia più utilizzato nell’infrastruttura.
Analizzare i log degli eventi: possiamo esaminare i log degli eventi sui domain controller e sui server per individuare eventuali tentativi di autenticazione NTLM. E’ possibile cercare eventi correlati all’utilizzo di NTLM, come eventi di autenticazione fallita o eventi di successo con l’uso del protocollo NTLM. Prima dobbiamo abilitare sulla nostra infrastruttura l’auditing per l’uso del protocollo NTLM. In seguito potremo vedere gli eventi su Event Viewer con id 4624
Analizzare il traffico di rete: utilizzare strumenti di monitoraggio del traffico di rete, come Wireshark, per analizzare il traffico di autenticazione. Cercare quindi i pacchetti che utilizzano il protocollo NTLM, inclusi gli handshake di autenticazione NTLM e le richieste di autenticazione NTLM.
Valutare le impostazioni dei server e delle applicazioni: verificare le impostazioni di autenticazione sui server e sulle applicazioni presenti nel dominio. Alcune applicazioni possono ancora dipendere da NTLM per l’autenticazione. Assicurati di identificare queste applicazioni e valutare la possibilità di passare a metodi di autenticazione più sicuri.
Possiamo accedere alla gestione delle policy a dominio e creare una nuova policy andando poi a configurare l’opzione scelta.
La policy “Network Security: LAN Manager Authentication level” ci consente di decidere come gestire il protocollo NTLM a livello d’infrastruttura: sotto riporto la tabella che indica le varie opzioni. Ad esempio possiamo decidere di forzare l’utilizzo del solo protocollo NTLM V2.
Possiamo inoltre configurare la policy “Network Security: do not store lan manager hash value on next change password”, in modo che al prossimo cambio password, non vengano salvati localmente gli hash ntlm.
Possiamo inoltre decidere di DISABILITARE completamente il protocollo NTLM con la policy “Network Security: Restrict NTLM: NTLM authentication in this domain”
Con questa policy abbiamo disabilitato a livello di dominio l’utilizzo di NTLM ma questo continuerà ad essere utilizzato per processi di logon locale.
Dobbiamo quindi procedere settando queste due ulteriori policy:
Il protocollo NTLM è da considerarsi ormai obsoleto e introduce diverse vulnerabilità, ma bisogna fare estrema attenzione prima di disabilitarlo.
Potrebbe essere ancora utilizzato all’ interno dell’infrastruttura e disabilitarlo potrebbe comportare disservizi diffusi. Vi invitiamo quindi a prestare sempre la massima attenzione e di procedere con le operazioni descritte dopo aver monitorato attraverso l’auditing appropriato l’infrastruttura, per un periodo di tempo sufficientemente lungo.
Ott 18, 2024 0
Set 23, 2024 0
Lug 29, 2024 0
Lug 23, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...