默认缓解NTLM中继攻击:微软加固Exchange、AD CS与LDAP安全

微软通过默认启用扩展保护认证(EPA)强化Exchange Server 2019、AD CS和LDAP服务,有效防御NTLM中继攻击,并计划未来全面禁用NTLM协议,转向Kerberos等现代认证方式。

引言

2024年2月,微软为Exchange Server发布更新,包含CVE-2024-21410相关的安全改进,默认为新装和现有Exchange 2019启用扩展保护认证(EPA)。尽管目前未发现针对Exchange的NTLM中继攻击活跃威胁活动,但过去曾观察到威胁行为者利用此向量。本月早先发布的Windows Server 2025中,微软为Azure目录证书服务(AD CS)默认启用EPA,同时LDAP默认启用通道绑定。这些安全增强默认缓解了三个本地服务的NTLM中继攻击风险:Exchange Server、Active Directory证书服务(AD CS)和LDAP。

背景

NTLM中继是威胁行为者常用的攻击方法,可导致身份泄露。NTLM中继攻击通常涉及两个步骤:

  1. 诱使受害者向任意端点认证。
  2. 将认证中继到易受攻击的目标。

通过将凭据中继到易受攻击的端点,攻击者可以代表受害者进行认证和操作,为后续域渗透提供初始立足点。要阻止利用,必须解决第一类问题,这些漏洞为攻击者提供初始利用原语。但全面缓解中继攻击需默认加固易受攻击服务。EPA或其他通道绑定机制确保客户端仅能向其目标服务器认证,这些缓解措施在保护服务免受NTLM中继攻击中起关键作用。

启用NTLM中继缓解措施

过去,微软观察到威胁行为者利用缺乏NTLM中继保护的服务,包括CVE-2023-23397(Outlook入口点中继到Exchange服务器)、CVE-2021-36942(LSARPC入口点中继到AD CS)和ADV190023(WPAD入口点中继到LDAP)。攻击者明显在活动中利用中继攻击。 针对这些观察到的NTLM中继攻击,微软发布了在AD CS、LDAP和Exchange Server上启用EPA的指南。尽管此措施有助于保护域免受NTLM中继攻击,但需要网络管理员手动干预,并非所有环境都可行。因此,微软一直致力于默认启用NTLM中继保护,自动防护环境免受此类攻击。

Exchange Server

Exchange Server在NTLM威胁环境中扮演独特角色,因此微软优先默认加固它。Office文档和通过Outlook发送的电子邮件是攻击者利用NTLM强制漏洞的有效入口点,因为它们能嵌入UNC链接。近期涉及NTLM和Office应用的漏洞包括CVE-2024-21413、CVE-2023-23397和CVE-2023-36563。尽管微软积极修复NTLM认证强制的特定实例,但攻击者常利用这些漏洞将认证中继到易受攻击的服务器,可能导致受害者账户泄露。Exchange Server常成为主要目标,因为它是企业广泛使用的邮件提供商。 今年早些时候,随着Exchange Server 2019 CU 14的发布,Exchange Server现在默认启用EPA。Exchange Server 2016处于扩展支持阶段,无进一步CU计划。使用Exchange Server 2016的客户可通过脚本启用EPA。 微软认识到EPA可能并非所有环境都易启用。默认启用EPA的重要部分涉及支持先前不兼容EPA的额外场景。有关环境中EPA启用的更多信息,请参考安全公告和Exchange更新博客中的指南。

AD CS和LDAP

微软还兴奋地宣布,现已普遍可用的最新Windows Server 2025默认为AD CS和LDAP启用EPA。注意,Server 2025中EPA的当前默认设置为“启用-当支持时”,以允许不支持通道绑定的客户端省略它们。对于不需要支持旧客户端的企​​业,更强的EPA安全设置是“启用-始终”,微软希望在未来Windows版本中进一步推进。此外,Windows Server 2022和2019的管理员可以手动为AD CS启用EPA,为LDAP启用通道绑定。微软已为LDAP启用审计支持,以识别不支持通道绑定的机器,帮助IT管理员通过升级到支持通道绑定的版本来默认启用通道绑定。 随着今年早些时候发布的Exchange Server 2019 CU14默认EPA安全设置,以及作为Windows Server 2025一部分发布的AD CS和LDAP默认设置,微软在这些版本上强制执行了防止NTLM中继攻击的强大防御。更多Windows服务的默认EPA启用更改目前正在筹备中。未来,微软将继续努力在更多服务上默认启用EPA,旨在完全消除此类NTLM中继攻击。

展望:NTLM的未来

NTLM是旧协议,微软一直建议用户为未来Windows版本默认禁用NTLM做准备。微软还鼓励客户编录并减少NTLM使用依赖,探索转向Kerberos等现代认证协议。在此期间,微软正在探索各种策略来加固 against NTLM攻击。一个显著进展是,在Windows Server 2025和Windows 11 24H2中,NTLMv1已被移除,更常用的NTLM v2已被弃用。此外,管理员现在可以配置SMB以阻止NTLM。 在整个生态系统中强制执行默认安全的进展与微软安全未来倡议的原则一致。随着微软向默认禁用NTLM迈进,即时、短期的更改(如在Exchange Server、AD CS和LDAP中启用EPA)强化了“默认安全”态势,保护用户免受现实世界攻击。微软期待在不久的将来在受支持版本中投资更多默认安全的NTLM加固措施。 这些安全缓解措施是微软多个团队和组织(尤其是Exchange和Windows)巨大工作的结果。特别感谢Nino Bilic、Matthew Palko和Wayne McIntyre对此博客的帮助和支持。

Rohit Mothe
George Hughey
MSRC漏洞与缓解团队

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次