26 ноября

NTLM: уязвимости, утечки хэшей и современные векторы атак

Закрепление уязвимостей аутентификации NTLM продолжает привлекать хакерские группировки, которые используют многочисленные векторы атак. Протокол NTLM, реализованный как механизм «запрос‑ответ» для аутентификации в средах Windows, по своей конструкции лишён современных защит и потому подвержен целому ряду методов эксплуатации.

Почему NTLM остаётся удобной мишенью

Отсутствие встроенных современных мер безопасности делает NTLM уязвимым к следующим проблемам:

возможность перехвата и повторного использования хешей аутентификации;
легкость встраивания принуждающих (coercion) векторов, которые не требуют взаимодействия пользователя;
уязвимость к MitM-атакам и перенаправлению учётных данных;
традиционная совместимость и настройки единого входа, которые часто реализованы неправильно и расширяют поверхность атаки.

Основные векторы атак

Утечка хэша. Злоумышленники создают файлы или вредоносные ссылки, которые вызывают автоматическую NTLM-аутентификацию на ресурсах, контролируемых атакующими. Такой пассивный сбор хешей позволяет затем использовать их в атаках.
Атаки на основе принуждения. Инструменты вроде PetitPotam заставляют целевую систему инициировать аутентификацию перед сервисом злоумышленника, что даёт возможность перехвата и ретрансляции хешей.
Переадресация учётных данных и Pass‑the‑Hash. Захваченные токены или хеши позволяют злоумышленникам выдавать себя за пользователей в других системах без знания оригинальных паролей — особенно в средах с плохо настроенным Single Sign‑On.
MitM и SMB‑манипуляции. Перехват трафика и принуждение к повторной аутентификации через SMB могут привести к повышению привилегий и дальнейшему распространению внутри сети.

Недавние инциденты и уязвимости (CVE)

Последние годы показали рост активности, связанной с эксплуатацией уязвимостей NTLM:

CVE-2024-43451 — уязвимость, которая может привести к утечке хэшей паролей NTLMv2 при минимальном взаимодействии с пользователем. Эта уязвимость была задействована в атаках APT‑группировки BlindEagle, нацеленных на колумбийские организации. Операторы использовали фишинговые рассылки для доставки модифицированного Remcos RAT через созданные файлы .url, а соответствующая инфраструктура обеспечивала взаимодействие с сервером WebDAV, контролируемым злоумышленниками.
CVE-2025-24054 — уязвимость, связанная с утечкой хэша NTLM в разных версиях Windows. Эксплуатация показывает, как специально созданные файлы могут инициировать запросы аутентификации и компрометировать учётные данные. Примечательно, что в России фиксировались атаки с использованием обманчивых ZIP‑архивов, содержащих вредоносные ms files, которые запрашивали NTLM-аутентификацию на серверах, контролируемых злоумышленниками.
CVE-2025-33073 — уязвимость, позволяющая прошедшим проверку подлинности злоумышленникам манипулировать аутентификацией SMB, что приводит к повышению привилегий путём принуждения системы жертвы к повторной аутентификации самой себя. Подобные техники наблюдались в подозрительной активности в финансовом секторе Узбекистана.

«Атаки против NTLM демонстрируют, насколько опасна комбинация унаследованных протоколов и современных инструментов принуждения — злоумышленники могут добиваться целей с минимальным взаимодействием пользователя», — отмечают эксперты по кибербезопасности.

Что это значит для организаций

Компании и государственные структуры сталкиваются с реальной угрозой: уязвимости NTLM позволяют злоумышленникам добиваться дальнейшего распространения в сети, повышения привилегий и кражи критичных учетных данных. Риски особенно велики в организациях с:

необновлёнными системами и отсутствием патч‑менеджмента;
нежёстко настроенным Single Sign‑On и разрешённым NTLM там, где можно было бы использовать более безопасные механизмы;
недостаточным мониторингом аутентификаций на внешние ресурсы и отсутствием контроля исходящих соединений.

Рекомендации по защите

Немедленно применяйте обновления безопасности и патчи, закрывающие упомянутые CVE.
Ограничьте или отключите использование NTLM там, где это возможно; по возможности переходите на более безопасные механизмы аутентификации.
Включите и требуйте SMB signing, включите функции типа Windows Defender Credential Guard и LSA Protection, где это применимо.
Защитите интерфейсы, уязвимые к принуждению: внедрите рекомендованные Microsoft mitigations против PetitPotam и подобных техник.
Блокируйте исходящие соединения на ненадёжные/внешние ресурсы, мониторьте аутентификации к внешним хостам и WebDAV/SMB‑серверы.
Внедрите многофакторную аутентификацию (MFA) и усиленный контроль доступа, уменьшайте применение прав администратора.
Организуйте threat hunting и корреляцию журналов: отслеживайте аномальные запросы NTLM, повторные аутентификации и обращения к созданным .url/.ms файлам.

Итог: эксплуатация уязвимостей NTLM остаётся распространённой и эффективной тактикой злоумышленников. Комплексный подход — патч‑менеджмент, конфигурационные изменения, сетевые ограничения и проактивный мониторинг — необходим, чтобы снизить риски компрометации учётных данных и предотвращать дальнейшие атаки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: