Каковы основные принципы работы протокола NTLM и как он используется в атаках Pass-the-Hash?
Протокол NTLM используется в Windows-среде для аутентификации пользователей, устройств и сервисов в доменной и недоменной инфраструктуре. {6-host} Основные принципы работы:
- Клиент направляет серверу запрос с именем пользователя, чтобы получить доступ к ресурсу. interface31.ru
- Сервер передаёт клиенту случайное число (запрос сервера). interface31.ru
- Клиент шифрует запрос сервера по алгоритму DES, используя в качестве ключа NT-хэш пароля. interface31.ru
- Зашифрованный хэшем пароля запрос сервера называется ответом NTLM и передаётся обратно серверу. interface31.ru
- Сервер извлекает из хранилища SAM хэш пароля того пользователя, чьё имя было ему передано, и выполняет аналогичные действия с запросом сервера. interface31.ru
- Сервер сравнивает полученный результат с ответом NTLM. interface31.ru Если результаты совпадают, значит пользователь клиента действительно тот, за кого себя выдаёт, и аутентификация считается успешной. interface31.ru
Атака Pass-the-hash позволяет атакующему авторизоваться на удалённом сервере, аутентификация на котором осуществляется с использованием протокола NTLM или LM. ru.wikipedia.org В основе атаки лежит слабость в реализации протокола сетевой аутентификации: хеши паролей передаются без использования соли, а потому остаются неизменными от сессии к сессии (до тех пор, пока не изменяется пароль пользователя). ru.wikipedia.org
Процесс атаки: атакующий получает пару «имя пользователя — хеш пароля пользователя» и использует её для аутентификации на удалённом сервере под видом пользователя. ru.wikipedia.org Для этого он может получить хэш NTLM либо по сети, либо с помощью скомпрометированной машины. {8-host}
Для защиты от атаки Pass-the-hash применяется метод комплексной защиты: использование межсетевого экрана, системы предотвращения вторжений, IPsec, антивирусных программ, полное шифрование диска, аутентификация с использованием стандарта IEEE 802.1X и другие меры. ru.wikipedia.org
