Aggiornamenti recenti Settembre 21st, 2023 10:50 AM
Set 04, 2023 Francesco Guiducci Approfondimenti, Hacking, In evidenza, RSS, Security bITs, Software, Tecnologia 0
Nell’ambito delle infrastrutture IT, la sicurezza è un aspetto cruciale che richiede una costante attenzione. Uno dei protocolli critici da valutare e, in alcuni casi (se possibile), disabilitare è il NTLM (NT LAN Manager). Questo protocollo di autenticazione, introdotto da Microsoft negli anni ’90, è ancora ampiamente utilizzato, ma presenta alcune vulnerabilità significative che possono mettere a rischio la sicurezza delle reti aziendali. In questo articolo cercheremo di capire l’importanza di disabilitare il protocollo NTLM e vedremo quali sono le alternative più sicure disponibili.
NTLM (NT LAN Manager) è un protocollo di autenticazione di rete utilizzato principalmente nei sistemi operativi Windows. È stato introdotto da Microsoft come successore del protocollo LAN Manager (LM) e offre una modalità di autenticazione basata su password. Il protocollo NTLM viene spesso utilizzato per consentire l’accesso a risorse di rete, come file condivisi e stampanti, in ambienti aziendali.
Tale protocollo basa la sua sicurezza sul fattore “sfida”, un meccanismo che possiamo riassumere con i seguenti punti:
Nonostante la sua diffusione, il protocollo NTLM presenta diverse vulnerabilità che lo rendono un bersaglio primario per gli attacchi informatici. Alcune delle principali vulnerabilità includono:
Pass-the-Hash attacks (PtH): NTLM memorizza le password degli utenti come hash, invece di memorizzarle in chiaro. Questo rende possibile per gli aggressori rubare gli hash delle password e utilizzarli per accedere alle risorse di rete senza conoscere le password effettive. Questo tipo di attacco viene chiamato Pass-the-Hash (PtH).
Relay attacks: Il protocollo NTLM non offre una protezione adeguata contro gli attacchi di relay, in cui un aggressore può sfruttare la comunicazione tra client e server per eseguire attacchi di tipo man-in-the-middle e impersonare l’utente legittimo.
Debolezza delle password: Il protocollo NTLM supporta solo l’autenticazione basata su password, senza fornire un meccanismo per l’utilizzo di metodi di autenticazione più robusti come l’autenticazione a due fattori o l’utilizzo di certificati digitali. NTLM infatti non supporta l’MFA
Se è vero che il protocollo NTLM dovrebbe essere disabilitato, dobbiamo considerare che in alcuni casi non è possibile.
Esso, infatti, viene mantenuto ad esempio quando:
Inoltre, dobbiamo assicurarci che il protocollo non sia più utilizzato nell’infrastruttura.
Analizzare i log degli eventi: possiamo esaminare i log degli eventi sui domain controller e sui server per individuare eventuali tentativi di autenticazione NTLM. E’ possibile cercare eventi correlati all’utilizzo di NTLM, come eventi di autenticazione fallita o eventi di successo con l’uso del protocollo NTLM. Prima dobbiamo abilitare sulla nostra infrastruttura l’auditing per l’uso del protocollo NTLM. In seguito potremo vedere gli eventi su Event Viewer con id 4624
Analizzare il traffico di rete: utilizzare strumenti di monitoraggio del traffico di rete, come Wireshark, per analizzare il traffico di autenticazione. Cercare quindi i pacchetti che utilizzano il protocollo NTLM, inclusi gli handshake di autenticazione NTLM e le richieste di autenticazione NTLM.
Valutare le impostazioni dei server e delle applicazioni: verificare le impostazioni di autenticazione sui server e sulle applicazioni presenti nel dominio. Alcune applicazioni possono ancora dipendere da NTLM per l’autenticazione. Assicurati di identificare queste applicazioni e valutare la possibilità di passare a metodi di autenticazione più sicuri.
Possiamo accedere alla gestione delle policy a dominio e creare una nuova policy andando poi a configurare l’opzione scelta.
La policy “Network Security: LAN Manager Authentication level” ci consente di decidere come gestire il protocollo NTLM a livello d’infrastruttura: sotto riporto la tabella che indica le varie opzioni. Ad esempio possiamo decidere di forzare l’utilizzo del solo protocollo NTLM V2.
Possiamo inoltre configurare la policy “Network Security: do not store lan manager hash value on next change password”, in modo che al prossimo cambio password, non vengano salvati localmente gli hash ntlm.
Possiamo inoltre decidere di DISABILITARE completamente il protocollo NTLM con la policy “Network Security: Restrict NTLM: NTLM authentication in this domain”
Con questa policy abbiamo disabilitato a livello di dominio l’utilizzo di NTLM ma questo continuerà ad essere utilizzato per processi di logon locale.
Dobbiamo quindi procedere settando queste due ulteriori policy:
Il protocollo NTLM è da considerarsi ormai obsoleto e introduce diverse vulnerabilità, ma bisogna fare estrema attenzione prima di disabilitarlo.
Potrebbe essere ancora utilizzato all’ interno dell’infrastruttura e disabilitarlo potrebbe comportare disservizi diffusi. Vi invitiamo quindi a prestare sempre la massima attenzione e di procedere con le operazioni descritte dopo aver monitorato attraverso l’auditing appropriato l’infrastruttura, per un periodo di tempo sufficientemente lungo.
Lug 26, 2023 0
Lug 21, 2023 0
Giu 30, 2023 0
Giu 26, 2023 0
Set 21, 2023 0
Set 20, 2023 0
Set 20, 2023 0
Set 19, 2023 0
Set 19, 2023 0
Uno dei modi migliori per condividere idee e favorire la...Set 18, 2023 0
I dispositivi IoT stanno trasformando l’operatività...Set 18, 2023 0
La sicurezza delle password è un aspetto cruciale per...Set 13, 2023 0
Il fenomeno dei ransomware non si arresta e, anzi, continua...Set 13, 2023 0
Il furto di account rimane uno dei principali problemi di...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Set 21, 2023 0
Sale la tensione tra Pechino e Washington: la Cina ha...Set 20, 2023 0
Earth Lusca è ancora in attività: il gruppo...Set 20, 2023 0
I ricercatori di Wiz, compagnia di sicurezza per il...Set 19, 2023 0
HWG, azienda di servizi gestiti e consulenza cyber, e...Set 18, 2023 0
I ricercatori di Akamai hanno individuato tre...