| 요약 | - 오래된 보안 프로토콜 NTLM의 첫 번째 버전이 여전히 악용될 수 있다는 연구 결과 발표 - 사용 현황을 파악하여 없애고, 새 메커니즘 도입 필요 |
| 내용 | - NTLMv1 > 93년 발표된 후 NTLM 릴레이 공격이 개발된 이후 NTLM은 본격적으로 몰락하기 시작 - NTLMv2 > 보안 강화 : 암호화 방식 강화, 인증을 위해 요구되는 정보 증가 > 그러나 NTLM 자체가 오래된 프로토콜이라는 한계점을 극복할 수는 없으므로, 보다 최신 인증 방식으로 대체 필요 - Active Directory 사용자 계정의 64%가 NTLM을 통해 정기적으로 인증을 진행 > NTLMv1 때문에 발생하는 문제들을 해결하기 위해 각종 보안 정책 도입 > 그러나 여전히 우회할 수 있으며, NTLMv1이 가진 보안 취약점을 악용할 수 있음 ※ 현재 사용자 인증은 케르베로스(Kerberos) 방식이 인기 - MS, 24.12 NTLM 개발 중단 공식적 발표 - NTLMv1이 정책적으로 비활성화 된 상태에서도 여전히 사용되도록 할 수 있는 공격이 발견 > 데이터를 구조화 하고 악성 애플리케이션을 적절히 활용한다면 차단 정책들을 우회하는 게 가능 > MS에 개념증명을 전달해 윈도 11 버전 24H2와 윈도 서버 2025부터 수정 및 보완 사항을 적용할 것이라 답변 받음 - NTLM이 사용되고 있는 현황을 파악하여 보다 현대화 된 인증 메커니즘으로 대체할 필요 ① 도메인 내 모든 NTLM 인증에 대한 감사 로그 활성화 ② NTLM 인증을 기본 인증 또는 대체 인증 방식으로 사용하는 모든 애플리케이션 파악 및 매핑 ③ 클라이언트에게 NTLMv1 메시지를 사용하도록 요청하는 취약 애플리케이션 파악 ④ NTLM을 현대적인 인증 방식으로 변경 |
| 기타 | - |
보안뉴스
오래됐지만 여전히 사랑받는 NTLM, 이제 정말 없애야 할 때
오래된 보안 프로토콜 중 하나인 NTLM의 첫 번째 버전이 여전히 악용될 수 있다는 연구 결과가 발표됐다. MS로부터 시작해 수많은 기업들이 없애려고 노력하는 바로 그 첫 버전이 여전히 살아있어
www.boannews.com
NTLMv1을 차단했다고 생각하십니까? NTLM 인증을 우회하는 것은 여전히 가능합니다.
Silverfort 발견하다 Active Directory NTLMv1을 비활성화하도록 설계된 그룹 정책은 간단한 구성 오류로 쉽게 우회되어 NTLMv1 인증이 지속될 수 있습니다.
www.silverfort.com
'보안뉴스' 카테고리의 다른 글
| [긴급] 포티게이트 방화벽 설정파일 1만5000개 유출, IP 주소 확인 필요 (0) | 2025.01.22 |
|---|---|
| 챗GPT·클로드·제미나이에 유출된 정보 분석했더니… (0) | 2025.01.22 |
| 구글 오오스가 가진 근본 취약점, 구글은 아직 해결하지 못해 (0) | 2025.01.22 |
| [긴급] 도커 데스크톱, 최신 버전으로 업데이트 필수…잘못된 코드 서명 인증서 문제 발생 (0) | 2025.01.12 |
| 3백만 개 메일 서버, 암호화 없이 방치…사용자 정보 노출 위험 (0) | 2025.01.04 |