Aggiornamenti recenti Maggio 14th, 2024 2:48 PM
Set 04, 2023 Francesco Guiducci Approfondimenti, Hacking, In evidenza, RSS, Security bITs, Software, Tecnologia 0
Nell’ambito delle infrastrutture IT, la sicurezza è un aspetto cruciale che richiede una costante attenzione. Uno dei protocolli critici da valutare e, in alcuni casi (se possibile), disabilitare è il NTLM (NT LAN Manager). Questo protocollo di autenticazione, introdotto da Microsoft negli anni ’90, è ancora ampiamente utilizzato, ma presenta alcune vulnerabilità significative che possono mettere a rischio la sicurezza delle reti aziendali. In questo articolo cercheremo di capire l’importanza di disabilitare il protocollo NTLM e vedremo quali sono le alternative più sicure disponibili.
NTLM (NT LAN Manager) è un protocollo di autenticazione di rete utilizzato principalmente nei sistemi operativi Windows. È stato introdotto da Microsoft come successore del protocollo LAN Manager (LM) e offre una modalità di autenticazione basata su password. Il protocollo NTLM viene spesso utilizzato per consentire l’accesso a risorse di rete, come file condivisi e stampanti, in ambienti aziendali.
Tale protocollo basa la sua sicurezza sul fattore “sfida”, un meccanismo che possiamo riassumere con i seguenti punti:
Nonostante la sua diffusione, il protocollo NTLM presenta diverse vulnerabilità che lo rendono un bersaglio primario per gli attacchi informatici. Alcune delle principali vulnerabilità includono:
Pass-the-Hash attacks (PtH): NTLM memorizza le password degli utenti come hash, invece di memorizzarle in chiaro. Questo rende possibile per gli aggressori rubare gli hash delle password e utilizzarli per accedere alle risorse di rete senza conoscere le password effettive. Questo tipo di attacco viene chiamato Pass-the-Hash (PtH).
Relay attacks: Il protocollo NTLM non offre una protezione adeguata contro gli attacchi di relay, in cui un aggressore può sfruttare la comunicazione tra client e server per eseguire attacchi di tipo man-in-the-middle e impersonare l’utente legittimo.
Debolezza delle password: Il protocollo NTLM supporta solo l’autenticazione basata su password, senza fornire un meccanismo per l’utilizzo di metodi di autenticazione più robusti come l’autenticazione a due fattori o l’utilizzo di certificati digitali. NTLM infatti non supporta l’MFA
Se è vero che il protocollo NTLM dovrebbe essere disabilitato, dobbiamo considerare che in alcuni casi non è possibile.
Esso, infatti, viene mantenuto ad esempio quando:
Inoltre, dobbiamo assicurarci che il protocollo non sia più utilizzato nell’infrastruttura.
Analizzare i log degli eventi: possiamo esaminare i log degli eventi sui domain controller e sui server per individuare eventuali tentativi di autenticazione NTLM. E’ possibile cercare eventi correlati all’utilizzo di NTLM, come eventi di autenticazione fallita o eventi di successo con l’uso del protocollo NTLM. Prima dobbiamo abilitare sulla nostra infrastruttura l’auditing per l’uso del protocollo NTLM. In seguito potremo vedere gli eventi su Event Viewer con id 4624
Analizzare il traffico di rete: utilizzare strumenti di monitoraggio del traffico di rete, come Wireshark, per analizzare il traffico di autenticazione. Cercare quindi i pacchetti che utilizzano il protocollo NTLM, inclusi gli handshake di autenticazione NTLM e le richieste di autenticazione NTLM.
Valutare le impostazioni dei server e delle applicazioni: verificare le impostazioni di autenticazione sui server e sulle applicazioni presenti nel dominio. Alcune applicazioni possono ancora dipendere da NTLM per l’autenticazione. Assicurati di identificare queste applicazioni e valutare la possibilità di passare a metodi di autenticazione più sicuri.
Possiamo accedere alla gestione delle policy a dominio e creare una nuova policy andando poi a configurare l’opzione scelta.
La policy “Network Security: LAN Manager Authentication level” ci consente di decidere come gestire il protocollo NTLM a livello d’infrastruttura: sotto riporto la tabella che indica le varie opzioni. Ad esempio possiamo decidere di forzare l’utilizzo del solo protocollo NTLM V2.
Possiamo inoltre configurare la policy “Network Security: do not store lan manager hash value on next change password”, in modo che al prossimo cambio password, non vengano salvati localmente gli hash ntlm.
Possiamo inoltre decidere di DISABILITARE completamente il protocollo NTLM con la policy “Network Security: Restrict NTLM: NTLM authentication in this domain”
Con questa policy abbiamo disabilitato a livello di dominio l’utilizzo di NTLM ma questo continuerà ad essere utilizzato per processi di logon locale.
Dobbiamo quindi procedere settando queste due ulteriori policy:
Il protocollo NTLM è da considerarsi ormai obsoleto e introduce diverse vulnerabilità, ma bisogna fare estrema attenzione prima di disabilitarlo.
Potrebbe essere ancora utilizzato all’ interno dell’infrastruttura e disabilitarlo potrebbe comportare disservizi diffusi. Vi invitiamo quindi a prestare sempre la massima attenzione e di procedere con le operazioni descritte dopo aver monitorato attraverso l’auditing appropriato l’infrastruttura, per un periodo di tempo sufficientemente lungo.
Apr 04, 2024 0
Mar 06, 2024 0
Dic 12, 2023 0
Nov 22, 2023 0
Mag 14, 2024 0
Mag 14, 2024 0
Mag 10, 2024 0
Mag 09, 2024 0
Mag 14, 2024 0
Dalla sua prima identificazione nell’aprile 2022 a...Mag 10, 2024 0
A partire dallo scorso gennaio e fino a metà marzo, MITRE...Mag 09, 2024 0
I sistemi Linux stanno diventando sempre più popolari e...Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft: tra...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Mag 14, 2024 0
Apple e Google hanno annunciato la disponibilità di...Mag 14, 2024 0
Dalla sua prima identificazione nell’aprile 2022 a...Mag 13, 2024 0
Nell’ultima settimana, il CERT-AGID ha identificato e...Mag 10, 2024 0
Microsoft ha deciso di gestire le vulnerabilità DNS...Mag 09, 2024 0
Le campagne sfruttano le vulnerabilità dei plugin di...