0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Прощай, NTLM: Microsoft отключает опасный протокол, который был старше многих сисадминов

NTLM Microsoft Windows LAN Manager уязвимости
Прощай, NTLM: Microsoft отключает опасный протокол, который был старше многих сисадминов
NTLM Microsoft Windows LAN Manager уязвимости

Задумывался как подстраховка, а стал любимой лазейкой для взломщиков…

image

Microsoft решила наконец поставить NTLM на задний план и в ближайших релизах Windows сделать так, чтобы этот протокол по умолчанию не использовался. Компания объясняет шаг тем, что за десятилетия вокруг NTLM накопился целый набор слабых мест, которыми пользуются злоумышленники, когда атакуют корпоративные сети.

NTLM, сокращение от New Technology LAN Manager, появился в 1993 году вместе с Windows NT 3.1 и пришёл на смену ещё более старому LAN Manager. С тех пор архитектура доменных сред сильно изменилась. Начиная с Windows 2000 в домене основным механизмом стал Kerberos, а NTLM остался как запасной вариант на случай, если Kerberos недоступен. Проблема в том, что «запасной вариант» давно превратился в удобную лазейку, потому что у NTLM слабее криптография и больше практических сценариев для атак.

Одна из самых известных схем злоупотребления связана с NTLM relay. В таком случае атакующий заставляет уже скомпрометированное устройство в сети пройти аутентификацию не там, где нужно, а на сервере под своим контролем. Дальше начинается наращивание привилегий, вплоть до полного захвата домена Windows. В теории защитные меры от relay существуют, но на практике их обходят, если в инфраструктуре остаются серверы, которые всё ещё принимают NTLM. Именно в эту зону попадают техники и уязвимости с именами PetitPotam, ShadowCoerce, DFSCoerce и RemotePotato0, их используют, чтобы обойти ограничения и снова вернуть рабочий путь для relay.

Вторая большая категория, pass-the-hash. Здесь злоумышленники не пытаются подобрать пароль. Они добывают NTLM-хеш, то есть значение, полученное из пароля при вычислении хеша, а затем используют его как замену учётным данным. Хеши крадут через уязвимости в системе или через вредоносное ПО, после чего атакующий может входить как пользователь, вытаскивать чувствительные данные и двигаться по сети дальше, постепенно расширяя охват.

В ближайшем крупном выпуске Windows Server, а также в связанных с ним клиентских версиях Windows протокол перестанет автоматически включаться в качестве подстраховки. При этом речь не идёт о немедленном удалении компонентов из системы. Формулировка Microsoft сводится к тому, что Windows будет поставляться в «безопасном по умолчанию» состоянии, где сетевой NTLM блокируется и больше не подхватывается автоматически, а предпочтение отдаётся современным вариантам на базе Kerberos.

Переход обещают сделать поэтапным, чтобы администраторы не столкнулись с внезапными отказами сервисов. На первом этапе предлагается использовать расширенный аудит, доступный в Windows 11 24H2 и Windows Server 2025. Смысл простой: найти места, где NTLM всё ещё живёт, и понять, какие приложения или сценарии заставляют систему откатываться к старому механизму входа.

2-й этап намечен на 2-ю половину 2026 года. Тогда Microsoft планирует добавить новые возможности, которые должны закрыть типовые ситуации, из-за которых происходил «фолбэк» на NTLM. Среди заявленных элементов - IAKerb и локальный центр распределения ключей, Local KDC. Эти компоненты задуманы как мостики к Kerberos там, где раньше проще было свалиться в NTLM из-за особенностей окружения или старых схем работы.

На 3-м этапе в будущих релизах сетевой NTLM отключат по умолчанию. Сам протокол при этом останется внутри ОС, а при необходимости его можно будет явно включить через политики. То есть Microsoft оставляет аварийный выключатель для организаций с тяжёлым наследием, но делает так, чтобы стандартное состояние системы было максимально жёстким и предсказуемым.

К этому решению компания шла не один год. Намерение постепенно отказаться от NTLM публично озвучивали в октябре 2023 года, тогда же говорили о желании расширить инструменты управления, чтобы администраторам было проще наблюдать за использованием протокола и ограничивать его в своих средах. В июле 2024 года NTLM официально перевели в статус устаревшего механизма для Windows и Windows Server и начали советовать разработчикам переходить на Kerberos или Negotiation. Отдельная линия предупреждений тянется ещё дальше. С 2010 года Microsoft призывает авторов приложений не опираться на NTLM, а админам рекомендует либо отключать протокол, либо настраивать защиту от relay через Active Directory Certificate Services, AD CS.