MS16-101: NTLM fallback is now prohibited

Преди времесе зачетох в следната статия:

Troubleshooting failed password changes after installing MS16-101

В нея се споменава за пароли, NTLM, последствия от Ms16-101 – кофти patch, не се случва за първи път т.е.нищо интересно.

Днес, прочитайки това:

Abusing Kerberos to NTLM fallback to defeat BitLocker FDE(има видео демонстрация)

осъзнах проблема, причината и последствията.

С няколко думи, проблемът е: можеш да се логнеш с кой да е потребител (дори с такъв, който има административниправа), използвайки fake домейн контролер и заявка за смяна на паролата.

Active Directory поддържа основно два механизма за автентикация:

  1. NTLM – вехт и несигурен протокол, който трябва да се избягва. Не гарантира идентичността на отсрещната страна;
  2. Kerberos – съвременен и сигурен протокол, който гарантира идентичността на двете автентикиращи се системи.

Сега си представете, че въпросното фалшиво DC сте го инсталирали Вие – със същото име, със същия FQDN и същия IP адрес, но в изолирана мрежа, заедно с клиентската машина от истинския домейн.

При смяна на парола, клиентският компютър търси домейн контролер чрез редица DNS заявки. Когато открие такъв започва процес на автентикация между двете машини. Първо се изпробва Kerberos автентикацията. Ако този вариант не е възможен (блокирани портове във Firewall-а) се преминава към NTLM. Този вариант е винаги успешен, но клиентът не знае дали DC-то отсреща е DC-то, което трябва да бъде. Новата парола се актуализира на домейн контролера и след това се записва в локалния кеш за пароли на клиентската машина. От този момент, при изключена мрежа, можете да влезете в профила на потребителя с новта парола, благодарение на функционалността Cached Credentials.

Проблемът се крие в това, че се допуска смяна на паролата през NTLM и не се проверява идентичността на отсрещната страна (защото NTLM не поддържа такава функционалност).

Поради тази причина от Майкрософт са забранили възможността за fallback към NTLM автентикацията, в случай, че Kerberos автентикацията е неуспешна. Което за мен е правилно решение. Ако всичко е на ред с домейна и Kerberos работи, няма да имате никакъв проблем.

Оказва се, че много админи “страдат” от невъзможността техните потребителите да сменят паролите си. Но ако се замислим, това е добре, защото до сега не са били на ясно, че има някакъв проблем с Kerberos автентикацията 🙂

В края ще добавя, че от Windows Server 2012 има групови политики за мониторинг и забрана на NTLM.

Още по темата:Bypassing Local Windows Authentication to Defeat Full Disk Encryption

Leave a Reply

Your email address will not be published. Required fields are marked *

*