vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💎
Microsoft объявила о том, что в будущих версиях Windows по умолчанию будет отключён 30-летний протокол аутентификации NTLM из-за уязвимостей в системе безопасности.
NTLM (New Technology LAN Manager) — это протокол аутентификации типа «запрос-ответ», представленный в 1993 году в Windows NT 3.1 и являющийся преемником протокола LAN Manager (LM).
Его уже заменил Kerberos, который в настоящее время является протоколом по умолчанию для устройств, подключённых к домену и работающих под управлением Windows 2000 или более поздних версий. NTLM же используется в качестве резервного метода аутентификации, когда Kerberos недоступен.
С момента своего выпуска NTLM широко использовался в атаках ретрансляции, когда злоумышленники заставляют скомпрометированные сетевые устройства проходить аутентификацию на серверах, контролируемых ими для повышения привилегий и получения полного контроля над доменом Windows. Несмотря на это, NTLM по-прежнему присутствует на серверах Windows, что позволяет хакерам использовать уязвимости, такие как PetitPotam, ShadowCoerce, DFSCoerce и RemotePotato0, для обхода мер защиты.
NTLM также подвергается атакам типа pass-the-hash, в ходе которых киберпреступники используют системные уязвимости или развёртывают вредоносное программное обеспечение для кражи хешей из целевых систем. Эти хешированные пароли используются для аутентификации скомпрометированного пользователя, что позволяет красть конфиденциальные данные и распространяться дальше по сети.
NTLM отключат по умолчанию в следующем крупном релизе Windows Server и соответствующих версиях клиентских приложений Windows.
Microsoft также представила трёхэтапный план перехода, разработанный для снижения рисков, связанных с NTLM. На первом этапе администраторы смогут использовать расширенные инструменты аудита, доступные в Windows 11 24H2 и Windows Server 2025, для выявления случаев, когда NTLM всё ещё применяется.
Следующий этап, запланированный на вторую половину 2026 года, представит новые функции, такие как IAKerb и локальный центр распространения ключей, для распространённых сценариев, приводящих к использованию резервного протокола NTLM. Третий этап отключит сетевой NTLM по умолчанию в будущих версиях, хотя протокол останется в операционной системе и при необходимости может быть активирован с помощью политик.
«Операционная система будет отдавать предпочтение современным, более безопасным альтернативам на основе Kerberos. В то же время проблемы распространённых устаревших сценариев будут решены с помощью новых возможностей, таких как локальный KDC и IAKerb», — заявила Microsoft.
Компания впервые объявила о планах отказаться от протокола NTLM в октябре 2023 года, отметив, что также хочет расширить возможности управления, чтобы предоставить администраторам большую гибкость в мониторинге и ограничении его использования в своих средах.
В июле 2024 года компания официально объявила об отказе от аутентификации NTLM в Windows и Windows Server, посоветовав разработчикам перейти на аутентификацию Kerberos или Negotiation для предотвращения будущих проблем.
Microsoft предупреждала разработчиков о необходимости прекратить использование NTLM в своих приложениях с 2010 года и советовала администраторам либо отключить его, либо настроить свои серверы для блокировки атак с использованием NTLM-ретрансляции с помощью служб сертификатов Active Directory (AD CS).
Ранее компания Mandiant выпустила базу данных, которая позволяет взломать любой пароль администратора, защищённый устаревшим алгоритмом хеширования Microsoft NTLMv1. Эта база представляет собой радужную таблицу — заранее вычисленный набор хеш-значений с соответствующими им паролями.
Между тем сама Microsoft после обнаружения уязвимостей в Kerberos поделилась мерами усиления защиты контроллеров домена (DC). В январе компания запустила очередной этап усиления защиты, чтобы устранить проблемы безопасности.
Источник
NTLM (New Technology LAN Manager) — это протокол аутентификации типа «запрос-ответ», представленный в 1993 году в Windows NT 3.1 и являющийся преемником протокола LAN Manager (LM).
Его уже заменил Kerberos, который в настоящее время является протоколом по умолчанию для устройств, подключённых к домену и работающих под управлением Windows 2000 или более поздних версий. NTLM же используется в качестве резервного метода аутентификации, когда Kerberos недоступен.
С момента своего выпуска NTLM широко использовался в атаках ретрансляции, когда злоумышленники заставляют скомпрометированные сетевые устройства проходить аутентификацию на серверах, контролируемых ими для повышения привилегий и получения полного контроля над доменом Windows. Несмотря на это, NTLM по-прежнему присутствует на серверах Windows, что позволяет хакерам использовать уязвимости, такие как PetitPotam, ShadowCoerce, DFSCoerce и RemotePotato0, для обхода мер защиты.
NTLM также подвергается атакам типа pass-the-hash, в ходе которых киберпреступники используют системные уязвимости или развёртывают вредоносное программное обеспечение для кражи хешей из целевых систем. Эти хешированные пароли используются для аутентификации скомпрометированного пользователя, что позволяет красть конфиденциальные данные и распространяться дальше по сети.
NTLM отключат по умолчанию в следующем крупном релизе Windows Server и соответствующих версиях клиентских приложений Windows.
Microsoft также представила трёхэтапный план перехода, разработанный для снижения рисков, связанных с NTLM. На первом этапе администраторы смогут использовать расширенные инструменты аудита, доступные в Windows 11 24H2 и Windows Server 2025, для выявления случаев, когда NTLM всё ещё применяется.
Следующий этап, запланированный на вторую половину 2026 года, представит новые функции, такие как IAKerb и локальный центр распространения ключей, для распространённых сценариев, приводящих к использованию резервного протокола NTLM. Третий этап отключит сетевой NTLM по умолчанию в будущих версиях, хотя протокол останется в операционной системе и при необходимости может быть активирован с помощью политик.
«Операционная система будет отдавать предпочтение современным, более безопасным альтернативам на основе Kerberos. В то же время проблемы распространённых устаревших сценариев будут решены с помощью новых возможностей, таких как локальный KDC и IAKerb», — заявила Microsoft.
Компания впервые объявила о планах отказаться от протокола NTLM в октябре 2023 года, отметив, что также хочет расширить возможности управления, чтобы предоставить администраторам большую гибкость в мониторинге и ограничении его использования в своих средах.
В июле 2024 года компания официально объявила об отказе от аутентификации NTLM в Windows и Windows Server, посоветовав разработчикам перейти на аутентификацию Kerberos или Negotiation для предотвращения будущих проблем.
Microsoft предупреждала разработчиков о необходимости прекратить использование NTLM в своих приложениях с 2010 года и советовала администраторам либо отключить его, либо настроить свои серверы для блокировки атак с использованием NTLM-ретрансляции с помощью служб сертификатов Active Directory (AD CS).
Ранее компания Mandiant выпустила базу данных, которая позволяет взломать любой пароль администратора, защищённый устаревшим алгоритмом хеширования Microsoft NTLMv1. Эта база представляет собой радужную таблицу — заранее вычисленный набор хеш-значений с соответствующими им паролями.
Между тем сама Microsoft после обнаружения уязвимостей в Kerberos поделилась мерами усиления защиты контроллеров домена (DC). В январе компания запустила очередной этап усиления защиты, чтобы устранить проблемы безопасности.
Источник
