NTLM na celowniku – Microsoft wzmacnia zabezpieczenia
Jeśli w Twojej organizacji nadal używacie NTLM, czas włączyć czerwone światło ostrzegawcze. Microsoft właśnie wprowadza nowe mechanizmy ochrony, które mają ograniczyć możliwość przechwytywania i przekazywania uwierzytelnienia NTLM przez cyberprzestępców.
To krok w kierunku lepszego zabezpieczenia sieci przed jednym z najbardziej uporczywych ataków – NTLM Relay. Jakie zmiany czekają administratorów IT i jak wpłyną na codzienną pracę? Sprawdźmy!
Dlaczego NTLM to wciąż problem?
NTLM, choć od lat uznawany za przestarzały, wciąż jest używany w wielu firmach. Ten mechanizm uwierzytelniania bazuje na metodzie wyzwania/odpowiedzi, w której klient przesyła do serwera odpowiedź zawierającą skrót hasła. Problem w tym, że ten skrót można przechwycić i wykorzystać w ataku przekaźnikowym NTLM.
Mimo że Kerberos od ponad 20 lat jest domyślnym protokołem uwierzytelniania w Windows, NTLM wciąż funkcjonuje w wielu środowiskach, a ataki NTLM Relay stanowią poważne zagrożenie. Cyberprzestępcy mogą przekazywać skrót NTLM między systemami bez konieczności jego odszyfrowania – i właśnie to sprawia, że ta metoda ataku jest tak skuteczna.
Jak wygląda atak NTLM Relay w praktyce?
Wyobraź sobie, że otwierasz dokument Office albo e-mail w Outlooku, który zawiera złośliwe łącze UNC. Twój system, nieświadomy zagrożenia, automatycznie próbuje uwierzytelnić się za pomocą NTLM. Atakujący przechwytuje Twoje poświadczenia i używa ich do uzyskania dostępu do innych zasobów sieciowych.
Brzmi groźnie? Słusznie! Podatności NTLM wykorzystano już w wielu atakach – np. CVE-2024-21413, CVE-2023-23397 czy CVE-2023-36563, które pozwalały na przejęcie kontroli nad systemami ofiar.
Windows Server 2025 – Microsoft mówi: dość!
Dobra wiadomość jest taka, że Microsoft wprowadza realne zmiany. Wraz z premierą Windows Server 2025 domyślnie włączono funkcję Extended Protection for Authentication (EPA) oraz powiązanie kanału dla LDAP.
EPA to potężna broń przeciwko atakom man-in-the-middle (MitM) i NTLM Relay. Dzięki temu mechanizmowi uwierzytelniania atakujący nie będzie mógł przekazać przechwyconych poświadczeń – po prostu nie zadziałają na innym serwerze!
W Server 2025 opcja EPA jest domyślnie ustawiona na „Włączone”, a organizacje mogą dodatkowo zaostrzyć politykę, wybierając ustawienie „Włączone – zawsze”. Jeśli korzystasz z Windows Server 2022 lub 2019 – bez obaw! Możesz ręcznie aktywować EPA i powiązanie kanału dla LDAP.
Microsoft idzie krok dalej, dodając audyt LDAP, który pozwala zidentyfikować systemy, które jeszcze nie obsługują powiązania kanału – to ważne przy migracji do bardziej bezpiecznych wersji systemu.
A co z Exchange Server? W 2024 roku Microsoft domyślnie włączył EPA dla Exchange Server 2019, a dla Exchange Server 2016 funkcja jest dostępna do ręcznego wdrożenia.
Co możesz zrobić już teraz?
Nie czekaj, aż atak NTLM Relay dotknie Twoją firmę. Oto kroki, które warto podjąć:
✅ Wyłącz NTLM na kontrolerach domeny.
✅ Włącz EPA i powiązanie kanału dla LDAP.
✅ Zablokuj dostęp do usług sieci Web na serwerach certyfikatów Active Directory.
✅ Włącz podpisywanie SMB – dodatkowa warstwa ochrony dla poświadczeń Windows.
Microsoft robi swoje, ale to od administratorów IT zależy, czy te mechanizmy zostaną wdrożone. Jeśli masz pytania lub chcesz sprawdzić, czy Twoje Active Directory jest bezpieczne – skontaktuj się z nami!
