Como se defender contra um ataque de retransmissão NTLM

O ataque de retransmissão NTLM representa uma ameaça significativa para as organizações que utilizam o Active Directory. Este ataque explora o protocolo de autenticação NT LAN Manager (NTLM), um mecanismo de desafio-resposta utilizado em redes Windows para autenticação de utilizadores. Os ataques de relé NTLM não são apenas uma relíquia de preocupações de segurança do passado, mas um risco presente e ativo.

Leitura relacionada: Melhores práticas de segurança do Active Directory

Ataques como o PetitPotam usam a retransmissão NTLM para ameaçar a segurança corporativa. Para mitigar esta ameaça permanente, as organizações devem aplicar medidas de segurança rigorosas. Continue lendo para saber mais sobre os ataques de retransmissão NTLM: como eles funcionam, os riscos que representam, como detectá-los e como se defender contra eles.

O que é NTLM?

O NTLM tem sido um dos pilares da autenticação do Windows. Concebido para velocidade e compatibilidade com versões anteriores, o NTLM facilita a autenticação de rede quando o Kerberos, uma alternativa mais segura, não pode ser utilizado. Muitas redes ainda suportam e utilizam NTLM para compatibilidade com versões anteriores e interoperabilidade com sistemas e aplicações antigos que não suportam métodos de autenticação mais recentes, como o Kerberos.

O que é um ataque de retransmissão NTLM?

Um ataque de retransmissão NTLM tira partido da conceção do protocolo NTLM. O NTLM não possui autenticação mútua e, por isso, é suscetível a ataques man-in-the-middle, incluindo um ataque de retransmissão NTLM.

Neste tipo de ataque, um agente de ameaça captura uma sessão de autenticação NTLM. Em seguida, o atacante utiliza as credenciais capturadas para se autenticar noutros serviços, aproveitando-se efetivamente da identidade do utilizador.

O protocolo NTLM não protege inerentemente contra a interceção ou retransmissão de credenciais. Sem mecanismos de segurança adicionais, como a assinatura SMB ou a Proteção Alargada para Autenticação, um atacante pode retransmitir mensagens NTLM para outros servidores e serviços dentro da rede. O atacante pode explorar este comportamento para realizar acções não autorizadas, desde o acesso a dados sensíveis até à execução de comandos com os privilégios da conta comprometida.

A prevalência de ambientes mistos que utilizam NTLM e protocolos mais seguros apenas expande a superfície de ataque dos adversários. Uma vez dentro da sua rede, os atacantes podem tirar partido das relações de confiança do AD para aumentar os privilégios. Esta ameaça aumenta quando as configurações de rede e o cumprimento rigoroso das políticas de segurança são inconsistentes ou ignorados devido a exigências operacionais, complexidade ou falta de sensibilização.

Os atacantes utilizam frequentemente um ataque de retransmissão NTLM juntamente com outras técnicas, como phishing ou malware, para obter acesso inicial ou aumentar a sua posição num sistema. A combinação destes métodos pode fazer dos ataques de retransmissão NTLM uma componente de ataques mais sofisticados e direccionados.

A ameaça é também amplificada pela disponibilidade imediata de muitas ferramentas e scripts automatizados para explorar as vulnerabilidades NTLM. Como resultado, os atacantes podem efetuar um ataque de retransmissão NTLM sem necessitarem de um conhecimento técnico profundo do protocolo subjacente.

Como é que um ataque de retransmissão NTLM funciona?

O ataque começa com o atacante a posicionar-se estrategicamente dentro da rede para monitorizar e capturar o tráfego de autenticação entre um cliente e um servidor. O ataque tira partido do facto de a autenticação NTLM não vincular inerentemente uma sessão de autenticação a um canal específico. Este comportamento permite ao atacante redirecionar as credenciais para um servidor ou serviço diferente dentro da rede.

Um ataque de retransmissão NTLM segue normalmente estes passos.

1. Interceção. O atacante utiliza técnicas como o envenenamento ARP para se inserir no fluxo de comunicação e intercetar a tentativa de um cliente de se autenticar num servidor.
2. Reenvio. O atacante retransmite ativamente o pedido de autenticação do cliente para outro servidor ou serviço dentro da rede.
3. Uso indevido de credenciais. Depois de receber as credenciais do cliente, o servidor alvo processa o pedido como se fosse uma tentativa legítima do cliente. O servidor devolve um token de sessão ou uma concessão de acesso, que o atacante captura.
4. Acesso não autorizado. Utilizando o token de sessão ou as credenciais de acesso, o atacante acede ao servidor ou serviço alvo com os mesmos direitos que a vítima. Estes direitos podem permitir que o atacante aceda a partilhas de ficheiros, bases de dados ou outros recursos sensíveis.

Que riscos estão associados a um ataque de retransmissão NTLM?

Os riscos potenciais de um ataque de retransmissão NTLM são profundos.

• Aumento de privilégios. Os atacantes podem obter privilégios elevados se as credenciais retransmitidas tiverem o nível de acesso necessário.
• Violação de dados. O acesso a dados sensíveis dentro da rede pode levar ao roubo ou perda de dados.
• Movimento lateral. Os atacantes podem mover-se lateralmente dentro da rede, comprometendo sistemas adicionais e preparando o terreno para outros ataques ou ameaças persistentes.

Os exemplos da vida real incluem casos em que os atacantes comprometeram um utilizador com privilégios elevados e utilizaram a retransmissão NTLM para executar comandos que concedem aos atacantes acesso persistente à rede.

Quem é vulnerável a um ataque de retransmissão NTLM?

Os sistemas que são particularmente vulneráveis a um ataque de retransmissão NTLM incluem:

• Redes que utilizam o início de sessão único (SSO) e nas quais o NTLM ainda está a ser utilizado
• Ambientes em que a assinatura SMB está desactivada ou não é aplicada
• Servidores e aplicações que não requerem ligação de canal ou proteção de sessão

Como se pode detetar um ataque de retransmissão NTLM?

Para detetar um ataque de NTLM Relay, os profissionais de segurança devem seguir os seguintes passos:

• Monitorizar padrões de tráfego NTLM invulgares.
• Procure sinais de envenenamento por ARP ou falsificação de rede.
• Utilizar sistemas de deteção de intrusões para assinalar pedidos de autenticação anómalos.
• Utilizar a análise avançada de ameaças para detetar movimentos laterais ou aumento de privilégios que possam indicar um ataque de retransmissão.

Como se pode defender contra um ataque de retransmissão NTLM?

Ao compreender a mecânica de um ataque de retransmissão NTLM e ao tomar medidas proactivas para proteger a sua rede, pode reduzir significativamente a ameaça representada por esta vulnerabilidade duradoura. A atenuação de um ataque de retransmissão NTLM envolve as seguintes etapas:

• Impor a assinatura SMB para impedir a interceção de mensagens de autenticação NTLM.
• Desativar a autenticação NTLM sempre que possível, em favor de protocolos mais seguros, como o Kerberos.
• Implementar a segmentação da rede para limitar o movimento lateral.
• Utilize o grupo de segurança Protected Users e outras funcionalidades do Credential Guard para reduzir a exposição das credenciais.

Os administradores do Active Directory também podem seguir os seguintes passos:

• Audite a sua rede para garantir que a assinatura SMB está activada em todos os dispositivos.
• Configure o Active Directory para rejeitar pedidos de autenticação NTLM de redes não confiáveis.
• Monitorizar, corrigir e atualizar regularmente os sistemas para atenuar as vulnerabilidades conhecidas. No que diz respeito ao Active Directory, uma ferramenta como o Semperis Directory Services Protector pode procurar e eliminar vulnerabilidades e até automatizar a correção de alterações suspeitas no ambiente do Active Directory.
• Educar os utilizadores sobre a importância de não reutilizar credenciais em diferentes pontos de acesso.

Manter-se vigilante contra os ciberataques

Um ataque de retransmissão NTLM representa uma séria ameaça às redes. Apesar da sua idade, o NTLM continua a ser utilizado em muitos ambientes empresariais, especialmente em sistemas que não foram actualizados para utilizar protocolos de autenticação modernos como o Kerberos. A persistência do NTLM nas redes, muitas vezes devido a aplicações ou dispositivos antigos que o exigem, deixa uma porta aberta a ataques de retransmissão NTLM para explorar fraquezas inerentes ao protocolo de autenticação.

Além disso, os ataques de retransmissão NTLM podem ser particularmente perigosos quando combinados com outras explorações. Por exemplo, um atacante que obtenha acesso a uma rede através de uma campanha de phishing pode utilizar tácticas de retransmissão NTLM para elevar privilégios e mover-se lateralmente dentro da rede, conduzindo a uma vasta gama de actividades maliciosas.

Ao intercetar e retransmitir mensagens de autenticação, os atacantes podem obter acesso não autorizado a recursos de rede, aumentar seus privilégios e potencialmente causar danos significativos. A deteção e a atenuação requerem uma postura de segurança robusta, incluindo a monitorização da rede, a formação dos utilizadores e a implementação de protocolos de autenticação seguros.

Os administradores do Active Directory devem manter-se especialmente vigilantes. Aplique as práticas recomendadas para se proteger contra vulnerabilidades e garantir a integridade e a segurança do serviço de identidade. E, se possível, implemente soluções de deteção e resposta a ameaças à identidade (ITDR) que simplifiquem o monitoramento do Active Directory e automatizem sua defesa contra erros humanos e ataques cibernéticos furtivos.