Silverfort 的研究人员在 Active Directory 环境中发现了一个严重漏洞。该漏洞允许攻击者绕过旨在禁用不安全的 NTLMv1 身份验证协议的组策略。研究结果表明,即便企业认为已经封禁了 NTLMv1,但配置不当的本地应用程序仍可能触发该协议,从而留下凭据窃取的后门。
据 silverfort.com 报道,该漏洞源于某些应用程序与组策略 LAN Manager 之间的交互方式。虽然许多公司利用这些策略来降低 NTLMv1 带来的风险,但研究显示,第三方或自定义的本地应用程序仍可能被配置为请求 NTLMv1 身份验证,从而有效地规避了安全限制。
这种绕过手段为网络内部的横向移动和权限提升提供了路径。已经进入网络的攻击者可以拦截 NTLMv1 流量,并对用户凭据进行离线破解。对于使用混合设备(例如使用 Mac 电脑连接银行应用程序)的企业而言,此漏洞尤为危险,因为这些设备可能仍依赖于此类旧版协议。
数据显示,尽管 NTLM 协议存在已知弱点,但仍有超过 64% 的 Active Directory 用户账户在定期使用该协议进行身份验证。Silverfort 的研究人员指出,这造成了一种“虚假的安全感”,使企业在面对现代攻击链时处于毫无防备的状态。
微软正着手逐步淘汰 NTLMv1
针对该漏洞的披露,微软安全响应中心 (MSRC) 已采取积极措施推进该协议的移除工作。尽管研究人员指出,这种绕过行为本身并不构成直接的安全漏洞,但微软已宣布将彻底移除 NTLMv1。这一淘汰进程将从 Windows 11 24H2 版本和 Windows Server 2025 开始实施。
在这些更新全面部署之前,安全专家建议各机构应密切监控域内的所有 NTLM 身份验证日志。研究团队建议,企业应梳理所有将 NTLM 作为主要或备用身份验证方式的应用程序,以识别存在风险的客户端。
Silverfort 建议使用现代身份验证方法来保护 NTLM 流量,以防止攻击者利用这些旧版身份验证信息进行攻击。该公司目前正致力于协助客户检测 NTLMv1 的使用情况,并通过实施基于风险的边界控制,降低系统被入侵的可能性。