Active Directory NTLMv1 우회 취약점 및 대응 방안

Hackers Bypass Active Directory Group Policy to Allow Vulnerable NTLMv1 Auth Protocol

Hackers Bypass Active Directory Group Policy to Allow Vulnerable NTLMv1 Auth Protocol

 

• NTLMv1 취약점 개요
  • 연구자들은 Active Directory의 NTLMv1 비활성화 정책이 쉽게 우회될 수 있는 취약점을 발견
  • 온프레미스(내부망) 애플리케이션의 잘못된 구성으로 인해 그룹 정책(Group Policy)이 무력화됨
  • 공격자는 NTLMv1 인증 트래픽을 가로채 사용자 자격 증명을 오프라인에서 크랙하여 네트워크 접근 권한을 획득 가능
• NTLMv1 프로토콜의 보안 취약점
  • NTLMv1은 오래된 인증 프로토콜로 강력한 보안 기능이 부족
  • DES 암호화 알고리즘 사용, 8바이트의 예측 가능한 서버 챌린지로 인해 공격자가 쉽게 크랙 가능
  • 릴레이 공격(relay attack) 가능, 출처 및 목적지 검증이 없어 중간자 공격(MitM) 취약
  • NTLMv2로 개선, RC4 암호화 도입 및 세션 키 생성으로 보안 강화
• NTLMv1 우회 공격 기법
  • Active Directory 서버는 Netlogon RPC 인터페이스를 사용하여 NTLM 인증 요청을 평가
  • Microsoft의 MS-NRPC 프로토콜에서 특정 플래그를 사용하면 NTLMv1 사용이 강제 가능
  • NETLOGON_LOGON_IDENTITY_INFO 구조 내 ParameterControl 필드의 "Allow NTLMv1 authentication" 플래그를 조작하여 그룹 정책 설정을 무력화
  • 결과적으로 LMCompatibilityLevel 레지스트리 키를 통한 NTLMv1 차단이 효과적으로 작동하지 않음
• 보안 권고
  • NTLMv1 사용 실태 조사
    • NTLM 감사 로그 활성화(NTLM audit logs)
    • NTLM을 사용하는 애플리케이션 및 장비 목록화
  • NTLMv1 제거 및 대체 프로토콜 전환
    • Kerberos 또는 싱글사인온(SSO) 적용하여 보안 강화
    • LMCompatibilityLevel을 5(최고 수준)로 설정하여 NTLMv1 차단
  • 취약 애플리케이션 감지 및 보완
    • NTLMv1을 강제하는 레거시 애플리케이션 식별 및 보안 패치 적용
    • Windows 클라이언트와 비Windows 장비 간 인증 방식 개선
  • 계속되는 보안 위협 모니터링 및 대응
    • Microsoft의 NTLMv1 폐기 로드맵을 따라 지속적인 보안 정책 업데이트 필요
    • 침해 지표(IOC) 모니터링 및 위협 탐지 강화
• 결론
  • Active Directory의 NTLMv1 정책이 공격자에 의해 우회될 수 있는 치명적인 취약점 존재
  • 온프레미스 애플리케이션과 레거시 시스템의 NTLMv1 의존도를 철저히 분석하고 제거 필요
  • Kerberos 기반 인증 체계로 전환하고 지속적인 보안 모니터링을 강화하여 조직의 보안 수준을 향상