全面防御NTLM中继攻击:微软默认启用安全强化措施

微软宣布在Exchange Server 2019 CU14和Windows Server 2025中默认启用EPA认证扩展保护,全面防御NTLM中继攻击。文章详细介绍了针对Exchange、AD CS和LDAP服务的默认安全强化措施,以及未来逐步淘汰NTLM协议的计划。

引言

2024年2月,我们发布了Exchange Server的更新,其中包含CVE-2024-21410相关的安全改进,为新建和现有的Exchange 2019安装默认启用了认证扩展保护(EPA)。虽然目前未发现针对Exchange的NTLM中继攻击活跃威胁活动,但我们过去曾观察到威胁行为者利用此攻击向量。

随着本月早先Windows Server 2025的发布,我们通过对Azure目录证书服务(AD CS)默认启用EPA发布了类似的安全改进。此外,在同一Windows Server 2025版本中,LDAP现在默认启用了通道绑定。这些安全增强功能默认缓解了三个本地服务的NTLM中继攻击风险:Exchange Server、Active Directory证书服务(AD CS)和LDAP。

背景

NTLM中继是威胁行为者常用的攻击方法,可导致身份泄露。NTLM中继攻击通常涉及两个步骤:

  • 诱使受害者向任意端点进行身份验证
  • 将身份验证中继到易受攻击的目标

通过将凭据转发或中继到易受攻击的端点,攻击者可以代表受害者进行身份验证并执行操作。这为攻击者提供了进一步域渗透的初始立足点。为了阻止利用,必须解决第一类问题。这些漏洞为攻击者提供了初始利用原语。然而,要全面缓解中继攻击,我们需要默认全面解决易受攻击的服务。由于EPA或其他通道绑定机制确保客户端只能向其目标服务器进行身份验证,这些缓解措施在保护服务免受NTLM中继攻击方面发挥着重要作用。

启用NTLM中继缓解措施

过去,微软观察到威胁行为者利用缺乏NTLM中继保护的服务。这些包括CVE-2023-23397(针对Exchange服务器的Outlook入口点中继)、CVE-2021-36942(针对Active Directory证书服务(AD CS)的LSARPC入口点中继)和ADV190023(针对轻量级目录访问协议(LDAP)的WPAD入口点中继)。从这些实例中,攻击者明显在其活动中利用中继攻击。

针对这些观察到的NTLM中继攻击,微软发布了在AD CS、LDAP和Exchange Server上启用EPA的指南。虽然此措施确实有助于保护域免受NTLM中继攻击,但需要网络管理员手动干预,这在所有环境中可能不可行。因此,我们一直致力于默认启用NTLM中继保护,这将自动保护环境免受此类攻击。

Exchange Server

需要注意的是Exchange Server在NTLM威胁环境中的独特作用,这就是我们优先默认强化它的原因。通过Outlook发送的Office文档和电子邮件作为攻击者利用NTLM强制漏洞的有效入口点,因为它们能够在其中嵌入UNC链接。最近涉及NTLM和Office应用程序的漏洞包括CVE-2024-21413、CVE-2023-23397和CVE-2023-36563。虽然我们积极修复NTLM认证强制的特定实例,但攻击者经常使用这些漏洞将认证中继到易受攻击的服务器,这可能导致受害者账户泄露。在这种情况下,Exchange Server可能是主要目标,因为它是企业间常用的邮件提供商。

今年早些时候,随着Exchange Server 2019 CU 14的发布,Exchange Server现在默认启用了EPA。Exchange Server 2016处于扩展支持阶段,此版本没有进一步CU计划。使用Exchange Server 2016的客户可以通过脚本启用EPA。

我们认识到在所有环境中启用EPA可能并非易事。默认启用EPA的重要部分涉及支持以前与EPA不兼容的其他场景。有关在环境中启用EPA的更多信息,请参阅安全公告和Exchange更新博客中提供的指南。

AD CS和LDAP

我们也很高兴地宣布,现已正式上市的最新Windows Server 2025,默认启用了AD CS和LDAP的EPA。请注意,Server 2025中EPA的当前默认设置是"启用-当支持时",以允许不支持通道绑定的客户端省略它们。对于不需要支持传统客户端的企业,更强的EPA安全设置是"启用-始终",我们希望在未来的Windows版本中进一步推进。此外,Windows Server 2022和2019上的管理员可以手动为AD CS启用EPA,为LDAP启用通道绑定。我们已为LDAP启用审计支持,以识别不支持通道绑定的机器,帮助IT管理员通过升级到支持通道绑定的版本来实现默认启用通道绑定。

随着今年早些时候发布的Exchange Server 2019 CU14和作为Windows Server 2025一部分发布的AD CS和LDAP的以安全为中心的默认EPA设置,我们在这些版本上实施了强大的防御措施来防止NTLM中继攻击。更多Windows服务的默认EPA启用更改目前正在进行中。展望未来,我们将在未来版本中继续努力默认在更多服务中启用EPA,旨在完全消除此类NTLM中继攻击。

展望:NTLM的未来

NTLM是一种传统协议,我们一直建议用户为未来Windows版本中默认禁用NTLM做好准备。我们还鼓励客户编目和减少NTLM使用的依赖关系,并探索转向现代认证协议如Kerberos。在此期间,我们正在探索各种策略来强化对NTLM攻击的防御。一个显著的发展是在Windows Server 2025和Windows 11 24H2中,NTLMv1已被移除,更常用的NTLM v2已被弃用。此外,管理员现在可以选择配置SMB来阻止NTLM。

在整个生态系统中强制执行默认安全的进展与微软安全未来倡议的原则一致。随着我们朝着默认禁用NTLM的方向前进,即时、短期的更改,如在Exchange Server、AD CS和LDAP中启用EPA,强化了"默认安全"态势,保护用户免受现实世界的攻击。我们期待在不久的将来在受支持版本中投资更多默认安全的NTLM强化措施。

这里的安全缓解措施是微软内部多个团队和组织,特别是Exchange和Windows团队巨大工作的成果。特别感谢Nino Bilic、Matthew Palko和Wayne McIntyre对本博客的帮助和支持。

Rohit Mothe

George Hughey

MSRC漏洞与缓解团队

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次