Politica de grup Active Directory ocolită pentru a permite autentificări NTLMv1

O echipă de specialiști în domeniul securității cibernetice a identificat o eroare semnificativă în Microsoft Active Directory Group Policy ce permite autentificării NTLMv1 să persiste în ciuda faptului că este dezactivată.

Acest lucru evidențiază o vulnerabilitate critică prin care aplicațiile locale configurate greșit pot ocoli setările Group Policy menite să blocheze utilizarea protocolului NTLMv1 vechi și insecurizat.

NTLM (New Technology LAN Manager) este un protocol de autentificare utilizat pe scară largă în mediile Windows.

Cu toate acestea, prima sa versiune, NTLMv1, este cunoscută pentru numeroasele sale vulnerabilități de securitate, inclusiv susceptibilitatea la atacuri brute-force, sustragerea credențialelor și atacuri de tip relay.

În ciuda eforturilor Microsoft de a elimina treptat NTLMv1, constatările specialiștilor demonstrează că atacatorii pot exploata o eroare de configurare în protocolul Netlogon Remote (MS-NRPC).

Prin utilizarea unui indicator specific în structura NETLOGON_LOGON_IDENTITY_INFO, atacatorii pot activa autentificarea NTLMv1 chiar și atunci când Group Policy o dezactivează în mod evident.

Această ocolire creează un sentiment de nesiguranță, lăsând rețelele vulnerabile la atacuri de tip lateral movement și elevare de privilegii.

Organizațiile care utilizează aplicații terțe sau personalizate sunt cele mai expuse la risc. Dispozitivele non-Windows, cum ar fi sistemele macOS care se conectează la aplicații de întreprindere, sunt, de asemenea, vulnerabile.

Începând cu Windows 11 versiunea 24H2 și Windows Server 2025, Microsoft a anunțat eliminarea completă a suportului NTLMv1.

NTLM a fost mult timp criticat pentru metodele sale criptografice învechite și pentru lipsa caracteristicilor moderne de securitate, precum autentificarea cu mai mulți factori (MFA) și validarea identității serverului.

Pentru a aborda această problemă, se recomandă următoarele măsuri:

• Activarea înregistrării de verificare: Monitorizați toate încercările de autentificare NTLM din cadrul domeniului.
• Maparea aplicațiilor care utilizează NTLM: Identificați aplicațiile care se bazează pe autentificarea NTLM și evaluați configurațiile acestora.
• Detectarea aplicațiilor vulnerabile: Utilizați instrumente pentru a identifica aplicațiile care solicită utilizatorilor să genereze mesaje NTLMv1.
• Implementați autentificarea de calitate: Înlocuiți NTLM cu alternative sigure precum Kerberos sau protocoalele SSO ori de câte ori este posibil.

Sursă: https://cybersecuritynews.com/active-directory-group-policy-bypassed/