Kant's IT/Vulnerability
NTLMv1 사용 취약점: Active Directory 그룹 정책 우회 가능성
Kant Jo
2025. 1. 26. 15:20
Researchers Find Exploit Allowing NTLMv1 Despite Active Directory Restrictions
- 취약점 개요
- Microsoft Active Directory에서 NTLMv1 사용을 차단하기 위해 설계된 그룹 정책(Group Policy)이 잘못된 구성으로 인해 우회 가능
- NTLMv1은 네트워크 사용자 인증에 사용되는 구식 프로토콜로, 2024년 중반에 사용 중단(deprecated) 되었음
- NTLMv2는 보안이 강화되었지만, NTLMv1은 여전히 공격자들에게 악용 가능
- 취약점 원인
- Netlogon Remote Protocol (MS-NRPC) 설정 문제
- NETLOGON_LOGON_IDENTITY_INFO 구조체의 ParameterControl 필드에서 NTLMv1 인증 허용 옵션 존재
- 이 설정은 그룹 정책의 LAN Manager 인증 수준을 무효화할 수 있음
- 결과적으로, NTLMv1 사용이 제한된 환경에서도 잘못 구성된 애플리케이션이 이를 활성화 가능
- Netlogon Remote Protocol (MS-NRPC) 설정 문제
- 공격 방식
- NTLMv1 인증 메시지를 생성하여 취약한 애플리케이션이나 시스템을 대상으로 인증 시도
- 인증 정보를 리레이(relay)하거나 피해자를 강제로 특정 엔드포인트에 인증하도록 유도
- 공격자는 피해자의 권한으로 민감 데이터에 접근하거나 악성 행위를 수행 가능
- 관련 이슈
- PDF 소프트웨어 취약점
- Adobe Reader 및 Foxit PDF Reader에서 NTLM 정보를 유출할 수 있는 제로데이 동작 발견
- Foxit은 Windows 버전 2024.4에서 취약점 수정
- Windows 11 보안 우회
- 24H2 이전 버전에서 커널 수준의 임의 코드 실행 가능성 확인
- PDF 소프트웨어 취약점
- 보안 권고
- NTLM 감사 로그 활성화
- 도메인 내 NTLM 인증에 대한 로깅을 활성화하여 NTLMv1 사용 탐지
- 애플리케이션 구성 점검
- NTLMv1 메시지를 요청하는 애플리케이션 식별 및 수정
- LMCompatibilityLevel 설정 검토
- Active Directory 및 도메인 컨트롤러에서 NTLMv1 인증을 차단하도록 레지스트리 키 확인
- 시스템 최신화
- Windows 및 서버 환경에서 최신 보안 패치 적용
- NTLM 완전 비활성화 고려
- NTLM 사용을 최소화하고, Kerberos와 같은 대체 인증 메커니즘으로 전환
- NTLM 감사 로그 활성화
- 결론
- NTLMv1은 심각한 보안 위험을 내포하고 있으며, 잘못된 구성으로 인해 조직의 보안 정책이 무력화될 수 있음
- 조직은 NTLMv1 관련 설정 및 애플리케이션 구성을 철저히 점검하고, 네트워크 인증 보안을 강화해야 함
- Active Directory 환경에서 보안 로그 모니터링과 정기적인 취약점 점검은 필수적