در دنیای پرشتاب فناوری، در حالی که نوآوریها و سیستمهای امنیتی نوین به سرعت در حال ظهورند، برخی از پروتکلهای قدیمی، به رغم آسیبپذیریهای شناختهشده، همچنان در زیرساختهای حیاتی مورد استفاده قرار میگیرند و به مسیری آسان برای نفوذ مهاجمان سایبری تبدیل شدهاند. پروتکل NTLM مایکروسافت، محصولی از اوایل دهه ۲۰۰۰، نمونهای بارز از این وضعیت است که با وجود معرفی جایگزینهای امنتر مانند Kerberos، هنوز در بسیاری از شبکهها و برنامههای قدیمی حضور دارد و به تهدیدی مستمر برای امنیت سایبری تبدیل شده است. مایکروسافت نیز بارها به پایان عمر این پروتکل اشاره کرده، اما حذف کامل آن به دلیل وابستگیهای عمیق، به تعویق افتاده و همین امر زمینه را برای سوءاستفاده بدافزارها و گروههای هکری فراهم میآورد.
<br/>
NTLM: پروتکلی قدیمی با کارکردی ساده، اما آسیبپذیر
پروتکل احراز هویت NTLM که مخفف NT LAN Manager است، برای تأیید هویت کاربران و محافظت از یکپارچگی دادهها در شبکههای ویندوزی طراحی شد. این پروتکل بر اساس یک فرآیند "چالش-پاسخ" (Challenge-Response) کار میکند:
کاربر آمادگی خود را برای احراز هویت اعلام میکند.
سرور یک چالش امنیتی (عبارت تصادفی) را برای کاربر ارسال میکند.
کامپیوتر کاربر با استفاده از هش رمز عبور خود، به آن چالش پاسخ میدهد.
سرور پاسخ را تأیید کرده و در صورت صحت، دسترسی به منابع را فراهم میسازد.
تاریخچه آسیبپذیریهای NTLM به سال ۲۰۰۱ و با انتشار ابزار SMBRelay توسط سر دیستیک بازمیگردد که نشان داد چگونه مهاجمان میتوانند هشهای رمز عبور را به سرقت ببرند. با وجود تلاشهای مایکروسافت برای ارتقاء امنیت و معرفی Kerberos به عنوان جایگزینی امنتر، تعبیه عمیق NTLM در بسیاری از سیستمهای ویندوزی و برنامههای سازمانی، مهاجرت کامل را دشوار کرده است.
تهدیدات سایبری مستمر با تمرکز بر پروتکل NTLM
این پروتکل احراز هویت، به دلیل ساختار خود، در برابر طیف وسیعی از حملات سایبری آسیبپذیر است. مهمترین این تهدیدات شامل موارد زیر است:
نشت هشهای NTLM: حتی بدون تعامل مستقیم کاربر، تنها با باز کردن یا پیشنمایش یک فایل آلوده، سیستم میتواند به یک سرور تحت کنترل مهاجم متصل شده و هشهای احراز هویت را افشا کند.
وادارسازی احراز هویت (Coercion): مهاجمان قادرند کامپیوتر قربانی را مجبور کنند که بدون اطلاع و دخالت کاربر، به سرور مخرب آنها متصل شده و اطلاعات احراز هویت را ارسال کند.
حملات Pass-the-Hash: پس از به دست آوردن هشهای NTLM، هکرها میتوانند از این هشها برای ورود به سیستمهای دیگر در شبکه استفاده کنند. این تکنیک امکان حرکت جانبی (Lateral Movement) در شبکه و افزایش سطح دسترسی (Privilege Escalation) را برای آنها فراهم میکند.
حملات مرد میانی (Man-in-the-Middle) و رله NTLM: در این نوع حمله، مهاجم بین کاربر و سرور قرار گرفته، ترافیک احراز هویت را رهگیری، شنود، تغییر یا حتی بازپخش میکند. حمله NTLM Relay که بیش از دو دهه قدمت دارد، همچنان یکی از کارآمدترین روشها برای دور زدن NTLM است.
حملات واقعی: NTLM در کانون سوءاستفاده گروههای سایبری
شواهد زیادی از سوءاستفاده گروههای هکری از ضعفهای پروتکل NTLM وجود دارد:
گروه BlindEagle در آمریکای لاتین: این گروه با ارسال فایلهای مخرب از طریق ایمیل، بدافزار Remcos را توزیع کرد. تنها با یک کلیک ساده بر روی فایل، هشهای NTLM کاربران به سرقت میرفت و حتی اطلاعات کیف پولهای رمزارزی قربانیان نیز مورد هدف قرار میگرفت.
حمله Head Mare علیه روسیه: این گروه هکتیویستی با بهرهگیری از همان آسیبپذیری NTLM، فایلهای ZIP مخرب ارسال میکرد. با باز کردن فایل توسط کاربر، هش NTLM افشا شده و بدافزار PhantomCore نصب میشد. سپس مهاجمان با استفاده از ابزارهای رایگان در شبکه حرکت کرده و به افزایش سطح دسترسی خود میپرداختند.
نشت گسترده هشها در روسیه و ازبکستان: در موارد متعدد، فایلهای دستکاریشده یا آرشیوهای ZIP به گونهای طراحی شده بودند که هشهای NTLM را به سرورهای مهاجم ارسال کنند. هکرها با دستکاری مکانیزم شناسایی سیستمها در ویندوز، حتی قادر به دستیابی به توکنهای سیستمی و در نهایت دسترسی مدیریتی میشدند.
راهکارهای جامع برای افزایش امنیت و محافظت در برابر NTLM
با توجه به چالشهای امنیتی پروتکل NTLM، سازمانها و کاربران باید اقدامات پیشگیرانه و دفاعی را در پیش بگیرند:
غیرفعالسازی یا محدودسازی پروتکل NTLM:
این پروتکل باید تنها در سیستمهایی که به شدت به آن وابسته هستند، فعال باشد.
شناسایی دقیق وابستگیهای سیستمها و برنامهها به NTLM و جایگزینی آنها با پروتکلهای احراز هویت مدرنتر و امنتر (مانند Kerberos همراه با احراز هویت چندعاملی یا MFA) ضروری است.
فعالسازی امضای پیامهای NTLM: برای جلوگیری از حملات دستکاری دادهها یا بازپخش (Replay Attacks)، امضای پیامهای NTLM باید فعال شود. این اقدام تضمین میکند که دادههای احراز هویت دستکاری نشدهاند.
فعالسازی حفاظت پیشرفته برای احراز هویت (Extended Protection for Authentication – EPA): با فعالسازی EPA، فرآیند احراز هویت NTLM به یک نشست امن TLS متصل میشود. این اتصال، استفاده مجدد از اطلاعات احراز هویت توسط مهاجم را دشوار میسازد.
نظارت و ممیزی مداوم ترافیک NTLM:
بررسی منظم لاگهای سیستم برای شناسایی فعالیتهای غیرعادی، از جمله تلاشهای مکرر ناموفق برای احراز هویت، ترافیک NTLM از آدرسهای IP مشکوک یا خارج از شبکه، حیاتی است.
استفاده از سیستمهای مدیریت رویداد و اطلاعات امنیتی (SIEM) و تشخیص و پاسخ Endpoint (EDR) میتواند به شناسایی زودهنگام تهدیدات NTLM کمک کند.
جمعبندی
پروتکل NTLM، با وجود عمر طولانی و آسیبپذیریهای شناختهشده، به دلیل حضور عمیق در زیرساختهای قدیمی ویندوز، همچنان نقطهضعفی کلیدی برای مهاجمان سایبری به شمار میرود. گروههای هکری از نقاط ضعف این پروتکل برای نشت هشها، حرکت جانبی در شبکه و افزایش سطح دسترسی استفاده میکنند. برای کاهش خطرات ناشی از NTLM، سازمانها باید به سمت حذف تدریجی آن، نصب بهروزرسانیهای امنیتی، و مهمتر از همه، مهاجرت به راهکارهای احراز هویت مدرن و چندعاملی (MFA) گام بردارند. در غیر این صورت، NTLM همچنان مسیری آسان برای نفوذ و بهرهبرداریهای مخرب خواهد بود.
مطالب مرتبط
- راهنمای ۲۰۲۵ مسیر تحول امنیت شبکههای صنعتی را با رویکرد اعتماد صفر ترسیم میکند
- مرکز افتا ضوابط جدیدی برای تأیید محصولات امنیتی خارجی اعلام کرد: گامی در جهت تضمین امنیت و ساماندهی بازار
- مرکز افتا فهرست جدیدترین محصولات امنیتی خارجی تحت بررسی و تأیید را منتشر کرد
- دستور قاطع سنگاپور به گوگل و اپل برای مقابله با پیامکهای دولتی جعلی، تحولات فناوری آسیا را رقم میزند
