Cybersecurity-onderzoekers hebben ontdekt dat het Microsoft Active Directory-groepsbeleid, dat is ontworpen om NT LAN Manager (NTLM) v1 uit te schakelen, triviaal kan worden omzeild door een verkeerde configuratie.
“Een eenvoudige verkeerde configuratie in lokale applicaties kan het groepsbeleid terzijde schuiven, waardoor het groepsbeleid dat is ontworpen om NTLMv1-authenticaties te stoppen effectief teniet wordt gedaan”, zegt Silverfort-onderzoeker Dor Segal in een rapport gedeeld met The Hacker News.
NTLM is een nog steeds veelgebruikt mechanisme, vooral in Windows-omgevingen, om gebruikers via een netwerk te authenticeren. Het oude protocol is, hoewel niet verwijderd vanwege vereisten voor achterwaartse compatibiliteit, vanaf medio 2024 verouderd.
Eind vorig jaar heeft Microsoft NTLMv1 officieel verwijderd, te beginnen in Windows 11, versie 24H2 en Windows Server 2025. Hoewel NTLMv2 nieuwe maatregelen introduceert om het moeilijker te maken om relay-aanvallen uit te voeren, wordt de technologie belegerd door verschillende beveiligingszwakheden die actief zijn uitgebuit door bedreigingsactoren om toegang te krijgen tot gevoelige gegevens.
Bij het misbruiken van deze tekortkomingen is het de bedoeling een slachtoffer te dwingen zich te authenticeren bij een willekeurig eindpunt, of de authenticatie-informatie door te geven aan een gevoelig doelwit en namens het slachtoffer kwaadwillige acties uit te voeren.
“Het groepsbeleidsmechanisme is de oplossing van Microsoft om NTLMv1 via het netwerk uit te schakelen”, legt Segal uit. “De registersleutel LMCompatibilityLevel voorkomt dat de domeincontrollers NTLMv1-berichten evalueren en retourneert een foutieve wachtwoordfout (0xC000006A) bij verificatie met NTLMv1.”
Uit het onderzoek van Silverfort is echter gebleken dat het mogelijk is om het groepsbeleid te omzeilen en toch NTLMv1-authenticatie te gebruiken door gebruik te maken van een instelling in het Netlogon Remote Protocol (MS-NRPC).
Concreet maakt het gebruik van een datastructuur genaamd NETLOGON_LOGON_IDENTITY_INFO, die een veld bevat met de naam ParameterControl dat op zijn beurt een configuratie heeft om “NTLMv1-authenticatie (MS-NLMP) toe te staan wanneer alleen NTLMv2 (NTLM) is toegestaan.”
“Dit onderzoek toont aan dat applicaties op locatie kunnen worden geconfigureerd om NTLMv1 in te schakelen, waardoor het hoogste niveau van het Group Policy LAN Manager-authenticatieniveau dat in Active Directory is ingesteld, teniet wordt gedaan”, aldus Segal.
“Dit betekent dat organisaties denken dat ze het juiste doen door dit groepsbeleid in te stellen, maar het wordt nog steeds omzeild door de verkeerd geconfigureerde applicatie.”
Om het risico van NTLMv1 te beperken, is het essentieel om auditlogboeken in te schakelen voor alle NTLM-authenticatie in het domein en oog te houden voor kwetsbare applicaties die clients verzoeken NTLMv1-berichten te gebruiken. Het spreekt ook voor zich dat organisaties aangeraden worden om hun systemen up-to-date te houden.
De nieuwste bevindingen volgen op een rapport van beveiligingsonderzoeker Haifei Li over een ‘zero-day-gedrag’ in PDF-artefacten die in het wild zijn blootgelegd en die lokale net-NTLM-informatie kunnen lekken wanneer ze onder bepaalde omstandigheden worden geopend met Adobe Reader of Foxit PDF Reader. Foxit Software heeft het probleem verholpen met versie 2024.4 voor Windows.
De onthulling komt ook terwijl HN Security-onderzoeker Alessandro Iandoli gedetailleerd uitlegde hoe verschillende beveiligingsfuncties in Windows 11 (vóór versie 24H2) konden worden omzeild om willekeurige code-uitvoering op kernelniveau te bewerkstelligen.
