Microsoft deprecates Windows NTLM authentication protocol
2024/06/04 BleepingComputer — Microsoft は、Windows/Windows Server における NTLM 認証を正式に非推奨とし、開発者に対しては、将来的な問題を回避するために Kerberos/Negotiation 認証へと移行すべきだと述べている。同社は 1993年に、Windows NT 3.1 の認証プロトコルとして、 LAN Manager (LM)後継である、NTLM (New Technology LAN Manager) をリリースしている。
Microsoft によると、現在でも NTLM プロトコルは広く使用されているが、6 月をもってアクティブな開発は終了し、より安全な代替プロトコルへと移行する予定のようだ。
この動きは驚くべきことではなく、2023年10月の時点で Microsoft は、この老朽化した認証プロトコルを廃止する意向を発表している。その時から管理者に対しては、Kerberos/Negotiate のような、最新の認証システムに移行するよう促されていた。
NTLM Relay 攻撃と呼ばれるサイバー攻撃で、NTLM は広く悪用されている。具体的に言うと、Windows ドメイン・コントローラに悪意のサーバを認証させて、乗っ取るという手口が横行しているのだ。
Microsoft は、サイバー攻撃を防ぐ手段として、 SMB セキュリティ署名などを導入しているが、NTLM 認証に対する攻撃は後を絶たない。
たとえば、依然としてパスワード・ハッシュが盗み出され、”pass-the-hash” 攻撃でa悪用されている。それらは、フィッシング攻撃で窃取されることもあり、Active Directory データベースやサーバのメモリから、ダイレクトに抽出さることもある。攻撃者は、それらのハッシュをクラックし、平文パスワードを手に入れることが可能となる。
Kerberos のような最新のプロトコルに比べて、NTLM における暗号化は弱点であり、ネットワークのラウンド・トリップは多く、SSO (single sign-on) 技術をサポートしていない。これらのことから、2024年のセキュリティと認証の標準と比べて、NTLM は著しく時代遅れであると考えられており、Microsoft は NTLM を廃止しようとしている。
NTLM 廃止プロセス
Windows Server の次期リリースや、Windows の次期年次リリースでは、NTLM は動作する。しかし、ユーザーと開発者は、まずは Kerberos による認証を試み、必要な場合にのみ、NTLM にフォールバックする Negotiate へと移行すべきだ。
Microsoft がシステム管理者に推奨するのは、監査ツールを利用して、環境内で NTLM が使用されている状況を把握し、移行計画を策定する際に考慮すべき、すべてのインスタンスを特定することだ。
大半のアプリケーションでは、Security Support Provider Interface (SSPI) に対する “AcquireCredentialsHandle” リクエストを一行変更するだけで、NTLM を Negotiate に置き換えることが可能だ。しかし、例外的には、より大規模な変更が必要になる場合もあるだろう。
移行期間中の互換性の問題を緩和するために、Negotiate には NTLM へのフォールバック機能が組み込まれている。また、認証の問題で行き詰っている管理者にとっては、Microsoft Kerberos トラブルシューティング・ガイドが参考になるだろう。
NTLM は New Technology LAN Manager の略であり、Windows NT 3.1 の認証プロトコルとして、また、LAN Manager (LM) 後継として、1993年に登場したという、長い歴史があるとのことです。そして、NTLM で検索すると一目瞭然ですが、Windows の弱点として、多数の脅威アクターたちに狙われています。それにしても、プロトコルの廃止というのは、たいへんな作業なんだと再認識です。
IoT OT Security News 
You must be logged in to post a comment.