DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

云盾高防采集_ddos如何防御_新用户优惠

云盾高防采集_ddos如何防御_新用户优惠

放下MIC–Marina Simakov Security Research发布的CVE-2019-1040查找我的信息:在Twitter上分享Facebook上的分享LinkedIn上的分享在我们最近关于CVE-2019-1040的安全咨询中宣布,Preempt研究人员发现了如何绕过NTLM身份验证的MIC(消息完整性代码)保护,并修改NTLM中的任何字段消息流,包括签名要求。此绕过允许攻击者将协商签名的身份验证尝试中继到另一个服务器,同时完全删除签名要求。所有不强制签名的服务器易受攻击.CVE-2019-1040背景NTLM中继是Active Directory环境中最常见的攻击之一。针对这种攻击技术最重要的缓解措施是服务器签名。但是,默认情况下,谷歌云服务器防御DDoS攻击么,只有域控制器强制SMB签名,这在许多情况下会使其他敏感服务器易受攻击。但是,为了危害这样的服务器,攻击者需要捕获一个不协商签名的NTLM协商,在HTTP中是这种情况,但在SMB中不是这样,在默认情况下,如果双方都支持签名,则必须对会话进行签名。为了确保NTLM协商阶段不会被攻击者篡改,微软在最后的NTLM身份验证消息中添加了一个额外的字段MIC。然而,我们发现,在微软最新的安全补丁之前,这个字段是没用。会议登录当用户通过NTLM对目标进行身份验证时,他们可能容易受到中继攻击。为了保护服务器免受此类攻击,Microsoft推出了各种缓解措施,高防CDN推荐,其中最重要的是会话签名。当用户针对服务器建立签名会话时,由于无法检索所需的会话密钥,攻击者无法劫持会话。在SMB中,通过在NTLM\U协商消息中设置"NTLMSSP"协商"签名"标志来协商会话签名。客户端行为由多个组策略("Microsoft network client:Digitally sign communications")决定,默认配置是设置有问题的标志。如果攻击者试图中继此类NTLM身份验证,则需要确保不会协商签名。一种方法是中继到NTLM消息不控制会话完整性的协议,如LDAPS或HTTPS。另一种方法是修改NTLM_NEGOTIATE消息并取消设置"NTLMSSP_NEGOTIATE_SIGN"标志。但是,NTLM的新版本中有这样的保护措施现场。图1–NTLM\U协商消息指示是否协商SMB签名MIC概述NTLM身份验证包含3种消息类型:NTLM\U协商、NTLM\U质询、NTLM\U身份验证。为了确保消息在传输过程中不会被恶意参与者操纵,在NTLM_AUTHENTICATE消息中添加了一个额外的MIC(消息完整性代码)字段。MIC是一个HMAC_MD5,用于使用会话密钥连接所有3个NTLM消息,只有启动身份验证的帐户和目标服务器才知道该密钥。因此,试图篡改其中一条消息(例如,修改签名协商)的攻击者将无法生成相应的MIC,会导致攻击失败。图2."MIC"字段可防止NTLM消息修改。在NTLM_身份验证消息的"msvAvFlag"字段中会宣布MIC的存在(标志0x2表示该消息包含一个MIC),它应完全保护服务器免受试图移除MIC和执行NTLM中继。但是,为什么ddos无法防御,我们发现Microsoft服务器没有利用这种保护机制,并且不允许未签名(无麦克风)NTLM\U身份验证信息。图3–指示NTLM\U身份验证消息包含MICDrop的"标志"字段MICDrop MICWe发现所有NTLM身份验证请求都容易受到中继攻击,不管哪种协议都有。如果协商请求包含签名要求,攻击者将需要执行以下操作以克服麦克:取消设置NTLM_NEGOTIATE消息中的签名标志(NTLMSSP_NEGOTIATE_ALWAYS_SIGN,windows防御ddos,NTLMSSP_NEGOTIATE_SIGN)从NTLM_AUTHENTICATE消息中删除MIC从NTLM_AUTHENTICATE消息中删除version字段(删除MIC字段而不删除version字段将导致错误)。取消设置NTLM_AUTHENTICATE消息中的以下标志:NTLMSSP_NEGOTIATE_SIGN,NTLMSSP_NEGOTIATE_SIGN,交换,协商_版本。我们相信这是一个严重的攻击载体,它打破了MIC以任何方式保护NTLM身份验证的误解。我们认为,问题在于,接受带有"msvAvFlag"值的身份验证的目标服务器实际上并没有验证该字段的存在。这使得所有不强制执行服务器签名的服务器(在大多数组织中这意味着绝大多数服务器,因为默认情况下只有域控制器强制SMB签名)易受NTLM中继攻击攻击。这个攻击不仅允许攻击者克服会话签名协商,而且会使组织处于易受攻击的状态更复杂的中继攻击,这些攻击操纵传输中的NTLM消息,以克服各种安全设置,如EPA(增强的身份验证保护)。有关此攻击的详细信息,完全防御ddos,请参阅以下内容博客。在为了真正保护您的服务器免受NTLM中继攻击,请在所有服务器上强制签名。如果这样的配置对于您的环境来说过于严格,请尝试在尽可能多的敏感环境上配置此设置服务器。Microsoft已发布以下修复程序:https:portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040HowPreempt可以帮助对抗CVE-2019-1040Preempt一直致力于保护客户。部署了Preempt的客户一直受到NTLM中继攻击的保护。Preempt平台提供完整的网络NTLM可见性,允许您减少NTLM流量并分析可疑的NTLM活动。此外,Preempt具有业界首创的确定性NTLM中继检测能力,能够检查所有GPO配置,并在不安全时发出警报配置。用于非抢占客户,此配置检查也在Preempt-Lite中提供,Preempt-Lite是一个免费的轻量级版本的Preempt平台。您可以下载Preempt Lite并验证网络的哪些区域易受攻击。主题:微软,NTLM,安全顾问,Marina Simakov于2019年6月11日上午9:52发布

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://ddosgb.cooou.com/ddos/42190.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 5769975访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X