Компания Silverfort обнаружила уязвимость, позволяющую обойти защиту от устаревшего протокола NTLMv1, несмотря на активированные групповые политики в Active Directory. Исследование показало, что неправильно настроенные локальные приложения способны включить NTLMv1, обходя настройки безопасности.
В NTLMv1 используются устаревшие криптографические алгоритмы и методы, что делает его уязвимым к релейным атакам и взлому паролей. Хотя Microsoft давно рекомендует перейти на более защищённые протоколы, 64% учётных записей в Active Directory до сих пор регулярно используют NTLM.
NTLMv1 особенно опасен в организациях, где работают сторонние или собственные приложения, несовместимые с современными стандартами. Например, устройства на macOS, подключающиеся к банковским системам, легко могут стать жертвами атак.
Злоумышленники, получив доступ к NTLMv1-трафику, могут перехватить учётные данные и использовать их для повышения привилегий или перемещения внутри сети. Эксперты Silverfort доказали, что эта уязвимость активно эксплуатируется.
Microsoft ответила на проблему, заявив, что NTLMv1 полностью удалят из Windows 11 (версия 24H2) и Windows Server 2025. Это важный шаг в повышении безопасности, направленный на устранение устаревших протоколов.
Исследование показало, что даже с активной защитой уязвимость сохраняется из-за настройки локальных приложений. Организациям рекомендовано вести журналы NTLM-аутентификаций, идентифицировать уязвимые приложения и переходить на современные методы защиты, такие как Kerberos.
Silverfort призывает использовать ориентированный на риск подход к безопасности, включая модернизацию аутентификации. Отчёт компании подтвердил, что Microsoft приняла правильное решение, отказавшись от NTLMv1. Этот шаг демонстрирует важность использования современных и защищённых решений для обеспечения безопасности IT-инфраструктуры.