Включаем EPA в FreeTDS и go-mssqldb: приключение на 5 минут

Представьте: вы теряете контроль над SCCM — одним из самых критичных инструментов управления инфраструктурой. А точкой входа становится обычное подключение к MSSQL, где он хранит свои данные. Злоумышленник перехватывает NTLM-аутентификацию и перенаправляет её на нужный сервер — так работает NTLM relay. Мы в команде Security Engineering решили не ждать эксплуатации этой уязвимости. Меня зовут Булат Гафуров, я инженер по информационной безопасности в Яндексе. В этой статье я расскажу, почему стандартного решения оказалось недостаточно и как мы добавили поддержку механизма EPA в популярные библиотеки, чтобы переключить защиту на стороне MSSQL в режим Require, не лишив Linux- и Windows-сервисы доступа к данным.

https://habr.com/ru/companies/yandex/articles/1031368/

#windows #security #ntlm_relay #ntlm #ntlmrelay #epa #mssql #mssqlserver #microsoft #freetds

NTLM для хакера. Подробное описание работы и безопасности протокола

Привет, мир! Недавно я решил пополнить свои знания протоколов NTLM'ом; и, к большому сожалению, стоящих материалов, которые бы подробно и полно описывали работу NTLM, я не нашел (есть лишь пара годных статей на английском языке, но и они, на мой взгляд, не дают нужного уровня глубины). Потому я решил написать статью, которая бы в подробностях рассказала о том, как работает данный протокол и удовлетворила даже самого душного нерда, каким автор и является))) Изучить матчасть

https://habr.com/ru/articles/993934/

#NTLM #ntlmrelay #безопасность #сетевая_безопасность #администрирование_сетей #сетевые_протоколы #аутентификация #информационная_безопасность

Interesting article from @elad_shamir from @SpecterOps about NTLM relay. Nice read.

https://posts.specterops.io/the-renaissance-of-ntlm-relay-attacks-everything-you-need-to-know-abfc3677c34e

#NTLMRelay #cybersecurity

Microsoft says SMB signing (aka security signatures) will be required by default for all connections to defend against #NTLMRelay attacks, starting with current Windows build (Enterprise edition) rolling out to Insiders in the Canary Channel.

In such attacks, threat actors force network devices (including domain controllers) to authenticate against malicious servers under the attackers' control to impersonate them and elevate privileges to gain complete control over the Windows domain. More here: https://www.bleepingcomputer.com/news/security/windows-11-to-require-smb-signing-to-prevent-ntlm-relay-attacks | #infosec

Added a PowerShell version too.
https://GitHub.com/4ndr34z/ntlmthief

#infosec #penetrationtesting #NTLMRelay #ntlm

[#PatchNow] Microsoft has released a patch for a critical elevation of privilege #zeroday #vulnerability that has purportedly been used by threat actors linked to Russian Military Intelligence to compromise multiple European organizations over the past year.

According to Microsoft, "The attacker could exploit this vulnerability by sending a specially crafted email which triggers automatically when it is retrieved and processed by the Outlook client. This could lead to exploitation BEFORE the email is viewed in the Preview Pane."

(External attackers could send specially crafted emails that will cause a connection from the victim to an external UNC location of attackers' control. This will leak the Net-NTLMv2 hash of the victim to the attacker who can then relay this to another service and authenticate as the victim.)

All supported versions of Microsoft #Outlook for Windows are vulnerable. Online versions of Microsoft Outlook such as Android, iOS, Mac, as well as Outlook on the web and other M365 services are not affected.

There is a script to help determine if your organization was targeted by actors attempting to use this vulnerability.

Bottom line: Test and patch this ASAP if your org uses Outlook.

Links to more info: https://exchange.xforce.ibmcloud.com/vulnerabilities/249053

https://msrc.microsoft.com/update-guide/en-us/vulnerability/CVE-2023-23397

#NTLMRelay #PassTheHash