02.02.26 14:56
NTLM, сокращение от New Technology LAN Manager, появился в 1993 году вместе с Windows NT 3.1 и пришёл на смену ещё более старому LAN Manager. С тех пор архитектура доменных сред сильно изменилась. Начиная с Windows 2000 в домене основным механизмом стал Kerberos, а NTLM остался как запасной вариант на случай, если Kerberos недоступен. Проблема в том, что «запасной вариант» давно превратился в удобную лазейку, потому что у NTLM слабее криптография и больше практических сценариев для атак, пишут в Securitylab.
Одна из самых известных схем злоупотребления связана с NTLM relay. В таком случае атакующий заставляет уже скомпрометированное устройство в сети пройти аутентификацию не там, где нужно, а на сервере под своим контролем. Дальше начинается наращивание привилегий, вплоть до полного захвата домена Windows. В теории защитные меры от relay существуют, но на практике их обходят, если в инфраструктуре остаются серверы, которые всё ещё принимают NTLM. Именно в эту зону попадают техники и уязвимости с именами PetitPotam, ShadowCoerce, DFSCoerce и RemotePotato0, их используют, чтобы обойти ограничения и снова вернуть рабочий путь для relay.
Вторая большая категория, pass-the-hash. Здесь злоумышленники не пытаются подобрать пароль. Они добывают NTLM-хеш, то есть значение, полученное из пароля при вычислении хеша, а затем используют его как замену учётным данным. Хеши крадут через уязвимости в системе или через вредоносное ПО, после чего атакующий может входить как пользователь, вытаскивать чувствительные данные и двигаться по сети дальше, постепенно расширяя охват.
В ближайшем крупном выпуске Windows Server, а также в связанных с ним клиентских версиях Windows протокол перестанет автоматически включаться в качестве подстраховки. При этом речь не идёт о немедленном удалении компонентов из системы. Формулировка Microsoft сводится к тому, что Windows будет поставляться в «безопасном по умолчанию» состоянии, где сетевой NTLM блокируется и больше не подхватывается автоматически, а предпочтение отдаётся современным вариантам на базе Kerberos.
Переход обещают сделать поэтапным, чтобы администраторы не столкнулись с внезапными отказами сервисов. На первом этапе предлагается использовать расширенный аудит, доступный в Windows 11 24H2 и Windows Server 2025. Смысл простой: найти места, где NTLM всё ещё живёт, и понять, какие приложения или сценарии заставляют систему откатываться к старому механизму входа.
2-й этап намечен на 2-ю половину 2026 года. Тогда Microsoft планирует добавить новые возможности, которые должны закрыть типовые ситуации, из-за которых происходил «фолбэк» на NTLM. Среди заявленных элементов - IAKerb и локальный центр распределения ключей, Local KDC. Эти компоненты задуманы как мостики к Kerberos там, где раньше проще было свалиться в NTLM из-за особенностей окружения или старых схем работы.
На 3-м этапе в будущих релизах сетевой NTLM отключат по умолчанию. Сам протокол при этом останется внутри ОС, а при необходимости его можно будет явно включить через политики. То есть Microsoft оставляет аварийный выключатель для организаций с тяжёлым наследием, но делает так, чтобы стандартное состояние системы было максимально жёстким и предсказуемым.
