Daniel Petri - Responsabile formazione senior

L'attacco NTLM relay rappresenta una minaccia significativa per le organizzazioni che utilizzano Active Directory. Questo attacco sfrutta il protocollo di autenticazione NT LAN Manager (NTLM), un meccanismo di sfida-risposta utilizzato nelle reti Windows per l'autenticazione degli utenti. Gli attacchi NTLM relay non sono solo una reliquia di problemi di sicurezza del passato, ma un rischio presente e attivo.

Lettura correlata: Migliori pratiche di sicurezza per Active Directory

Attacchi come PetitPotam utilizzano il relay NTLM per minacciare la sicurezza aziendale. Per mitigare questa minaccia costante, le organizzazioni devono applicare misure di sicurezza rigorose. Continuate a leggere per saperne di più sugli attacchi NTLM relay: come funzionano, quali rischi comportano, come rilevarli e come difendersi da essi.

Che cos'è NTLM?

NTLM è da tempo un pilastro dell'autenticazione di Windows. Progettato per la velocità e la retrocompatibilità, NTLM facilita l'autenticazione di rete quando non è possibile utilizzare Kerberos, un'alternativa più sicura. Molte reti supportano e utilizzano ancora NTLM per la retrocompatibilità e l'interoperabilità con sistemi e applicazioni legacy che non supportano metodi di autenticazione più recenti come Kerberos.

Che cos'è un attacco NTLM relay?

Un attacco NTLM relay sfrutta la struttura del protocollo NTLM. NTLM manca di autenticazione reciproca ed è quindi suscettibile di attacchi man-in-the-middle, compreso un attacco NTLM relay.

In questo tipo di attacco, l'attore della minaccia cattura una sessione di autenticazione NTLM. L'aggressore poi trasmette le credenziali catturate per autenticarsi ad altri servizi, sfruttando di fatto l'identità dell'utente.

Il protocollo NTLM non protegge intrinsecamente dall'intercettazione o dalla trasmissione delle credenziali. Senza meccanismi di sicurezza aggiuntivi, come la firma SMB o la protezione estesa per l'autenticazione, un utente malintenzionato può trasmettere i messaggi NTLM ad altri server e servizi della rete. L'aggressore può sfruttare questo comportamento per eseguire azioni non autorizzate, dall'accesso a dati sensibili all'esecuzione di comandi con i privilegi dell'account compromesso.

La prevalenza di ambienti misti che utilizzano sia NTLM che protocolli più sicuri non fa che ampliare la superficie di attacco per gli avversari. Una volta entrati nella rete, gli aggressori possono sfruttare le relazioni di fiducia AD per aumentare i privilegi. Questa minaccia aumenta quando le configurazioni di rete e il rispetto rigoroso dei criteri di sicurezza sono incoerenti o trascurati a causa di esigenze operative, complessità o mancanza di consapevolezza.

Gli aggressori spesso sfruttano un attacco NTLM relay insieme ad altre tecniche, come il phishing o il malware, per ottenere l'accesso iniziale o per aumentare la loro posizione all'interno di un sistema. La combinazione di questi metodi può rendere gli attacchi NTLM relay una componente di attacchi più sofisticati e mirati.

La minaccia è inoltre amplificata dalla pronta disponibilità di molti strumenti e script automatizzati per sfruttare le vulnerabilità di NTLM. Di conseguenza, gli aggressori possono effettuare un attacco relay NTLM senza bisogno di una profonda conoscenza tecnica del protocollo sottostante.

Come funziona un attacco NTLM relay?

L'attacco inizia con il posizionamento strategico dell'aggressore all'interno della rete per monitorare e catturare il traffico di autenticazione tra un client e un server. L'attacco sfrutta il fatto che l'autenticazione NTLM non vincola intrinsecamente una sessione di autenticazione a un canale specifico. Questo comportamento consente all'aggressore di reindirizzare le credenziali a un server o servizio diverso all'interno della rete.

Un attacco NTLM relay segue tipicamente i seguenti passaggi.

  1. Intercettazione. L'attaccante utilizza tecniche come l'ARP poisoning per inserirsi nel flusso di comunicazione e intercettare il tentativo di autenticazione di un client a un server.
  2. Relay. L'utente malintenzionato inoltra attivamente la richiesta di autenticazione del client a un altro server o servizio all'interno della rete.
  3. Uso improprio delle credenziali. Dopo aver ricevuto le credenziali del client, il server di destinazione elabora la richiesta come se fosse un tentativo legittimo del client. Il server restituisce un token di sessione o una concessione di accesso, che l'aggressore cattura.
  4. Accesso non autorizzato. Utilizzando il token di sessione o le credenziali di accesso, l'aggressore accede al server o al servizio di destinazione con gli stessi diritti della vittima. Questi diritti potrebbero consentire all'aggressore di accedere a condivisioni di file, database o altre risorse sensibili.

Quali sono i rischi associati a un attacco NTLM relay?

I rischi potenziali di un attacco NTLM relay sono profondi.

  • Escalation dei privilegi. Gli aggressori possono ottenere privilegi elevati se le credenziali trasmesse hanno il livello di accesso necessario.
  • Violazione dei dati. L'accesso a dati sensibili all'interno della rete può portare al furto o alla perdita di dati.
  • Movimento laterale. Gli aggressori possono spostarsi lateralmente all'interno della rete, compromettendo altri sistemi e ponendo le basi per ulteriori attacchi o minacce persistenti.

Esempi reali includono casi in cui gli aggressori hanno compromesso un utente con privilegi elevati e hanno utilizzato il relay NTLM per eseguire comandi che garantiscono agli aggressori un accesso persistente alla rete.

Chi è vulnerabile a un attacco NTLM relay?

I sistemi particolarmente vulnerabili a un attacco NTLM relay includono:

  • Reti che utilizzano il single sign-on (SSO) e in cui è ancora in uso NTLM
  • Ambienti in cui la firma SMB è disabilitata o non applicata
  • Server e applicazioni che non richiedono il channel binding o la protezione della sessione

Come si può rilevare un attacco NTLM relay?

Per rilevare un attacco NTLM Relay, i professionisti della sicurezza devono adottare le seguenti misure:

  • Monitorare gli schemi di traffico NTLM insoliti.
  • Cercare segni di avvelenamento ARP o spoofing di rete.
  • Utilizzare i sistemi di rilevamento delle intrusioni per segnalare le richieste di autenticazione anomale.
  • Utilizzate l'analisi avanzata delle minacce per individuare i movimenti laterali o l'escalation dei privilegi che potrebbero indicare un attacco di tipo relay.

Come ci si può difendere da un attacco NTLM relay?

Comprendendo i meccanismi di un attacco NTLM relay e adottando misure proattive per proteggere la vostra rete, potete ridurre in modo significativo la minaccia rappresentata da questa vulnerabilità duratura. La mitigazione di un attacco NTLM relay prevede i seguenti passaggi:

  • Applicare la firma SMB per impedire l'intercettazione dei messaggi di autenticazione NTLM.
  • Disattivare l'autenticazione NTLM quando possibile, a favore di protocolli più sicuri come Kerberos.
  • Implementare la segmentazione della rete per limitare gli spostamenti laterali.
  • Utilizzate il gruppo di sicurezza Utenti protetti e altre funzioni di Credential Guard per ridurre l'esposizione delle credenziali.

Gli amministratori di Active Directory possono anche adottare le seguenti misure:

  • Verificate la rete per assicurarvi che la firma SMB sia abilitata su tutti i dispositivi.
  • Configurare Active Directory per rifiutare le richieste di autenticazione NTLM da reti non attendibili.
  • Monitorare, applicare patch e aggiornare regolarmente i sistemi per ridurre le vulnerabilità note. Per quanto riguarda Active Directory, uno strumento come Semperis Directory Services Protector è in grado di scansionare e chiudere le vulnerabilità e persino di automatizzare la correzione delle modifiche sospette nell'ambiente Active Directory.
  • Istruire gli utenti sull'importanza di non riutilizzare le credenziali in diversi punti di accesso.

Rimanete vigili contro i cyberattacchi

Un attacco relay NTLM rappresenta una seria minaccia per le reti. Nonostante la sua età, NTLM rimane in uso in molti ambienti aziendali, soprattutto nei sistemi che non sono stati aggiornati per utilizzare protocolli di autenticazione moderni come Kerberos. La persistenza di NTLM nelle reti, spesso dovuta ad applicazioni o dispositivi legacy che lo richiedono, lascia una porta aperta agli attacchi NTLM Relay per sfruttare le debolezze intrinseche del protocollo di autenticazione.

Inoltre, gli attacchi NTLM relay possono essere particolarmente pericolosi se combinati con altri exploit. Ad esempio, un aggressore che ottiene l'accesso a una rete attraverso una campagna di phishing può utilizzare le tattiche di relay NTLM per elevare i privilegi e muoversi lateralmente all'interno della rete, dando vita a un'ampia gamma di attività dannose.

Intercettando e ritrasmettendo i messaggi di autenticazione, gli aggressori possono ottenere un accesso non autorizzato alle risorse di rete, aumentare i propri privilegi e potenzialmente causare danni significativi. L'individuazione e la mitigazione richiedono una solida postura di sicurezza, che comprenda il monitoraggio della rete, la formazione degli utenti e l'implementazione di protocolli di autenticazione sicuri.

Gli amministratori di Active Directory devono rimanere particolarmente vigili. Applicare le best practice per proteggere dalle vulnerabilità e garantire l'integrità e la sicurezza del servizio di identità. E se possibile, implementare soluzioni di rilevamento e risposta alle minacce all'identità (ITDR) che semplificano il monitoraggio di Active Directory e automatizzano la difesa contro gli errori umani e i cyberattacchi furtivi.