Yang baru kerentanan zero-day di NTLM ditemukan oleh para peneliti di 0patch memungkinkan penyerang mencuri kredensial NTLM dengan meminta pengguna melihat file berbahaya yang dibuat khusus di Windows Explorer — pengguna tidak perlu membuka file tersebut. Hash kata sandi ini dapat digunakan untuk serangan relai autentikasi atau serangan kamus pada kata sandi, keduanya untuk pengambilalihan identitas.
NTLM mengacu pada rangkaian protokol otentikasi lama dari Microsoft yang menyediakan otentikasi, integritas, dan kerahasiaan kepada pengguna. Sementara NTLM dulu secara resmi tidak digunakan lagi pada bulan Juni, penelitian kami menunjukkan hal itu 64% akun pengguna Direktori Aktif mengautentikasi secara teratur dengan NTLM — bukti bahwa NTLM masih digunakan secara luas meskipun terdapat kelemahan yang diketahui.
Cacat ini dapat dieksploitasi bahkan di lingkungan yang menggunakan NTLM v2, menjadikannya risiko yang signifikan bagi perusahaan yang belum beralih ke Kerberos dan masih mengandalkan NTLM. Mengingat Microsoft mungkin tidak akan memperbaiki masalah ini untuk sementara waktupembela perusahaan harus mengambil langkah-langkah untuk memitigasi kerentanan di lingkungan mereka. Tip Teknologi ini menguraikan bagaimana kebijakan akses dinamis, beberapa langkah penguatan, dan autentikasi multifaktor (MFA) dapat membantu membatasi upaya untuk mengeksploitasi kerentanan ini. Meningkatkan protokol, jika memungkinkan, dapat menghilangkan masalah ini sepenuhnya.
Apa Kerentanan NTLM?
Saat pengguna melihat file berbahaya di Windows Explorer — baik dengan menavigasi ke folder bersama, memasukkan drive USB yang berisi file berbahaya, atau hanya melihat file di folder Unduhan yang secara otomatis diunduh dari halaman Web berbahaya — NTLM keluar koneksi dipicu. Hal ini menyebabkan Windows secara otomatis mengirim hash NTLM dari pengguna yang sedang login ke share yang dikendalikan penyerang jarak jauh.
Hash NTLM ini kemudian dapat dicegat dan digunakan untuk serangan relai otentikasi atau bahkan serangan kamus, sehingga memberikan penyerang akses tidak sah ke sistem sensitif. Penyerang juga berpotensi menggunakan kata sandi yang terekspos untuk mengakses lingkungan perangkat lunak sebagai layanan (SaaS) organisasi karena tingginya tingkat pengguna yang disinkronkan.
Masalah ini berdampak pada semua versi Windows mulai dari Windows 7 dan Server 2008 R2 hingga Windows 11 24H2 dan Server 2022 terbaru.
Masalah mendasar dengan NTLM terletak pada desain protokolnya yang ketinggalan jaman. NTLM mengirimkan hash kata sandi alih-alih memverifikasi kata sandi teks biasa, sehingga rentan terhadap intersepsi dan eksploitasi. Bahkan dengan NTLM v2, yang menggunakan enkripsi yang lebih kuat, hash masih dapat ditangkap dan diteruskan oleh penyerang. Ketergantungan NTLM pada praktik kriptografi yang lemah dan kurangnya perlindungan terhadap serangan relay adalah kelemahan utama yang membuatnya sangat mudah dieksploitasi. Selain itu, otentikasi NTLM tidak mendukung fitur keamanan modern, seperti MFA, sehingga sistem terbuka terhadap berbagai teknik pencurian kredensial, seperti pass-the-hash dan hash relaying.
Apa yang Perlu Dilakukan Pembela HAM
Untuk memitigasi kerentanan ini, Microsoft telah memperbarui panduan sebelumnya tentang cara melakukannya aktifkan Perlindungan yang Diperluas untuk Otentikasi (EPA) adalah LDAP, Layanan Sertifikat Direktori Aktif (AD CS), dan Server Pertukaran. Di Windows Server 2022 dan 2019, administrator dapat mengaktifkan EPA untuk AD CS dan pengikatan saluran untuk LDAP secara manual. Ada skrip yang disediakan oleh Microsoft untuk mengaktifkan EPA secara manual di Exchange Server 2016. Jika memungkinkan, perbarui ke Windows Server 2025 terbaru karena dikirimkan dengan EPA dan pengikatan saluran diaktifkan secara default untuk AD CS dan LDAP.
Beberapa organisasi mungkin masih bergantung pada NTLM karena sistem lama. Tim-tim tersebut harus mempertimbangkan lapisan otentikasi tambahan, seperti kebijakan dinamis berbasis risiko, untuk melindungi sistem warisan NTLM yang ada dari eksploitasi.
Perkuat konfigurasi LDAP. Konfigurasikan LDAP untuk menerapkan pengikatan saluran dan pantau klien lama yang mungkin tidak mendukung pengaturan ini.
Periksa dampak pada SaaS. Jika Anda tidak yakin apakah ada aplikasi atau klien di lingkungan Anda yang mengandalkan NTLMv2, Anda dapat menggunakan Kebijakan Grup untuk mengaktifkan Keamanan Jaringan: Batasi NTLM: Audit lalu lintas NTLM yang masuk pengaturan kebijakan. Ini tidak akan memblokir lalu lintas NTLMv2 tetapi akan mencatat semua upaya untuk mengautentikasi menggunakan NTLMv2 di Log Operasi. Dengan menganalisis log ini, Anda dapat mengidentifikasi aplikasi klien, server, atau layanan mana yang masih mengandalkan NTLMv2, sehingga Anda dapat melakukan penyesuaian atau pembaruan yang ditargetkan.
Menggunakan Kebijakan Grup untuk membatasi atau menonaktifkan otentikasi NTLM melalui Keamanan Jaringan: Batasi NTLM Pengaturan ini akan mengurangi risiko skenario fallback dimana NTLM digunakan secara tidak sengaja.
Pantau lalu lintas UKM. Mengaktifkan penandatanganan dan enkripsi SMB dapat membantu mencegah penyerang meniru identitas server yang sah dan memicu autentikasi NTLM. Memblokir lalu lintas SMB keluar ke jaringan yang tidak tepercaya juga akan mengurangi risiko kebocoran kredensial NTLM ke server jahat. Menerapkan pemantauan dan peringatan jaringan untuk pola lalu lintas UKM yang tidak biasa, khususnya permintaan keluar ke alamat IP yang tidak dikenal atau tidak tepercaya.
Tinggalkan NTLM. NTLM sudah tidak digunakan lagi. Administrator harus mengaudit penggunaan NTLM untuk mengidentifikasi sistem mana yang masih mengandalkan NTLM. Organisasi harus memprioritaskan peralihan sistem tersebut dari NTLM ke protokol autentikasi yang lebih modern, seperti Kerberos. Setelah protokol yang lebih modern diterapkan, terapkan MFA untuk menambahkan lapisan perlindungan tambahan.
Mengambil langkah-langkah ini akan membantu organisasi mengatasi kelemahan mendasar dalam NTLM dan meningkatkan postur keamanan mereka.
