Aggiornamenti recenti Aprile 21st, 2025 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- CERT-AGID 12 – 18 aprile: nuove campagne di phishing per pagoPA e Ministero della Salute
- XorDDoS, il DDoS contro Linux evolve e continua a mietere vittime
- Migliaia di chiavi AWS usate in un attacco ransomware
- Aggiornato: Addio a CVE – il governo U.S.A. (sospende) riprende i finanziamenti per il programma
- Defender for Endpoint bloccherà gli IP sconosciuti per impedire il movimento laterale
NTLM: rischi e tecniche per procedere alla dismissione di questo protocollo
Nell’ambito delle infrastrutture IT, la sicurezza è un aspetto cruciale che richiede una costante attenzione. Uno dei protocolli critici da valutare e, in alcuni casi (se possibile), disabilitare è il NTLM (NT LAN Manager). Questo protocollo di autenticazione, introdotto da Microsoft negli anni ’90, è ancora ampiamente utilizzato, ma presenta alcune vulnerabilità significative che possono mettere a rischio la sicurezza delle reti aziendali. In questo articolo cercheremo di capire l’importanza di disabilitare il protocollo NTLM e vedremo quali sono le alternative più sicure disponibili.
Cosa è il protocollo NTLM?
NTLM (NT LAN Manager) è un protocollo di autenticazione di rete utilizzato principalmente nei sistemi operativi Windows. È stato introdotto da Microsoft come successore del protocollo LAN Manager (LM) e offre una modalità di autenticazione basata su password. Il protocollo NTLM viene spesso utilizzato per consentire l’accesso a risorse di rete, come file condivisi e stampanti, in ambienti aziendali.
Tale protocollo basa la sua sicurezza sul fattore “sfida”, un meccanismo che possiamo riassumere con i seguenti punti:
- Il client invia un nome utente all’host.
- L’host risponde con un numero casuale, la “sfida” o challenge di 16 Byte.
- Il client genera da questo numero e dalla password utente un valore hash e lo invia come risposta.
- Anche l’host, che conosce la password, determina il valore hash e può quindi confrontarlo con quello della risposta del client.
- Se entrambi i valori corrispondono, l’autenticità del client viene confermata e l’accesso può essere concesso. Se invece non c’è corrispondenza, il client viene bloccato.
Alcune vulnerabilità del protocollo NTLM
Nonostante la sua diffusione, il protocollo NTLM presenta diverse vulnerabilità che lo rendono un bersaglio primario per gli attacchi informatici. Alcune delle principali vulnerabilità includono:
Pass-the-Hash attacks (PtH): NTLM memorizza le password degli utenti come hash, invece di memorizzarle in chiaro. Questo rende possibile per gli aggressori rubare gli hash delle password e utilizzarli per accedere alle risorse di rete senza conoscere le password effettive. Questo tipo di attacco viene chiamato Pass-the-Hash (PtH).
Relay attacks: Il protocollo NTLM non offre una protezione adeguata contro gli attacchi di relay, in cui un aggressore può sfruttare la comunicazione tra client e server per eseguire attacchi di tipo man-in-the-middle e impersonare l’utente legittimo.
Debolezza delle password: Il protocollo NTLM supporta solo l’autenticazione basata su password, senza fornire un meccanismo per l’utilizzo di metodi di autenticazione più robusti come l’autenticazione a due fattori o l’utilizzo di certificati digitali. NTLM infatti non supporta l’MFA
Prima di disabilitare NTLM: a cosa dobbiamo fare attenzione?
Se è vero che il protocollo NTLM dovrebbe essere disabilitato, dobbiamo considerare che in alcuni casi non è possibile.
Esso, infatti, viene mantenuto ad esempio quando:
- È necessaria retrocompatibilità con sistemi più vecchi
- Il client si sta autenticando ad un server che appartiene ad una foresta Active Directory differente che ha un legacy trust NTLM invece di un trust inter-foresta
- Il client si sta autenticando ad un server che non appartiene ad un dominio
- Non esiste un dominio Active Directory (ovvero quando esiste un workgroupoppure una rete peer-to-peer)
Inoltre, dobbiamo assicurarci che il protocollo non sia più utilizzato nell’infrastruttura.
Come verificare se il protocollo NTLM è in uso nell’infrastruttura?
Analizzare i log degli eventi: possiamo esaminare i log degli eventi sui domain controller e sui server per individuare eventuali tentativi di autenticazione NTLM. E’ possibile cercare eventi correlati all’utilizzo di NTLM, come eventi di autenticazione fallita o eventi di successo con l’uso del protocollo NTLM. Prima dobbiamo abilitare sulla nostra infrastruttura l’auditing per l’uso del protocollo NTLM. In seguito potremo vedere gli eventi su Event Viewer con id 4624
Analizzare il traffico di rete: utilizzare strumenti di monitoraggio del traffico di rete, come Wireshark, per analizzare il traffico di autenticazione. Cercare quindi i pacchetti che utilizzano il protocollo NTLM, inclusi gli handshake di autenticazione NTLM e le richieste di autenticazione NTLM.
Valutare le impostazioni dei server e delle applicazioni: verificare le impostazioni di autenticazione sui server e sulle applicazioni presenti nel dominio. Alcune applicazioni possono ancora dipendere da NTLM per l’autenticazione. Assicurati di identificare queste applicazioni e valutare la possibilità di passare a metodi di autenticazione più sicuri.
Quindi, come possiamo disabilitare il protocollo LM, NTLM v1 e nel caso anche NTLM v2?
Possiamo accedere alla gestione delle policy a dominio e creare una nuova policy andando poi a configurare l’opzione scelta.
La policy “Network Security: LAN Manager Authentication level” ci consente di decidere come gestire il protocollo NTLM a livello d’infrastruttura: sotto riporto la tabella che indica le varie opzioni. Ad esempio possiamo decidere di forzare l’utilizzo del solo protocollo NTLM V2.
Possiamo inoltre configurare la policy “Network Security: do not store lan manager hash value on next change password”, in modo che al prossimo cambio password, non vengano salvati localmente gli hash ntlm.
Possiamo inoltre decidere di DISABILITARE completamente il protocollo NTLM con la policy “Network Security: Restrict NTLM: NTLM authentication in this domain”
Con questa policy abbiamo disabilitato a livello di dominio l’utilizzo di NTLM ma questo continuerà ad essere utilizzato per processi di logon locale.
Dobbiamo quindi procedere settando queste due ulteriori policy:
- Network security: Restrict NTLM: Incoming NTLM traffic = Deny all accounts
- Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers = Deny all
In conclusione
Il protocollo NTLM è da considerarsi ormai obsoleto e introduce diverse vulnerabilità, ma bisogna fare estrema attenzione prima di disabilitarlo.
Potrebbe essere ancora utilizzato all’ interno dell’infrastruttura e disabilitarlo potrebbe comportare disservizi diffusi. Vi invitiamo quindi a prestare sempre la massima attenzione e di procedere con le operazioni descritte dopo aver monitorato attraverso l’auditing appropriato l’infrastruttura, per un periodo di tempo sufficientemente lungo.
Condividi l'articolo
Rilasciato un decryptor gratuito per il ransomware di Key Group
IA e sicurezza: lo spettro della prompt injection
Articoli correlati
Altro in questa categoria
Approfondimenti
-
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una... -
L’Italia è tra gli obiettivi principali del... L’Italia è tra i principali obiettivi del cybercrime...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
CERT-AGID 12 – 18 aprile: nuove campagne di phishing per... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova...
-
Migliaia di chiavi AWS usate in un attacco ransomware Alcuni ricercatori di sicurezza hanno scoperto una nuova... -
Aggiornato: Addio a CVE – il governo U.S.A.... Aggiornamento: “Il programma CVE ha un valore... -
Defender for Endpoint bloccherà gli IP sconosciuti per... Microsoft sta per rilasciare una nuova funzionalità di...
Ransomware: la serie
No posts found.
