يُعد فهم مفهوم إعادة توجيه NTLM أمرًا بالغ الأهمية لأي شخص يتعمق في مجال الأمن السيبراني. فهو يُسلِّط الضوء على بعض الثغرات الموجودة في بروتوكولات أمان الشبكات المُستخدمة على نطاق واسع في العديد من الأنظمة حول العالم. NTLM، وهو اختصار لـ NT Lan Manager، يشير إلى مجموعة من بروتوكولات الأمان التي طورتها مايكروسوفت للمصادقة في أنظمتها البرمجية. من ناحية أخرى، يُعد إعادة توجيه NTLM نوعًا من الهجمات يتم فيها إنشاء مصادقة اصطناعية، وإرسال المعلومات من نظام إلى آخر.
يبدأ نقل NTLM عندما يتدخل مهاجم في محادثة بين طرفين بإقناع أحدهما (العميل) بأنه الطرف الآخر (الخادم). يُقنع المهاجم العميل بأنه يتواصل مع الخادم. عندما يُرسل العميل بيانات اعتماده (اسم المستخدم وكلمة المرور المُشفرة)، يعترض المهاجم هذه التفاصيل ويستخدمها للتحقق من هويته لدى الخادم. يُقر الخادم بدوره بالمهاجم، معتقدًا أنه العميل الأصلي.
كيف يعمل NTLM Relaying؟
تتضمن عملية إعادة توجيه NTLM ثلاث خطوات: الاعتراض، والتوجيه، وإنشاء الجلسة. أولاً، يحتاج المهاجم إلى اختراق الاتصال بين العميل (الجهاز الذي يطلب الوصول) والخادم (الجهاز الذي يمنح الوصول). تُعرف مرحلة الاعتراض هذه أيضًا باسم هجوم MITM (الرجل في المنتصف).
بعد ذلك، خلال مرحلة إعادة التوجيه، يُرسل المهاجم بيانات الاعتماد المُعترضة إلى الخادم، مُتنكرًا في صورة العميل. وأخيرًا، في مرحلة إنشاء الجلسة، يُنشئ المهاجم جلسة مع الخادم باستخدام بيانات الاعتماد التي أرسلها. من هذه النقطة، يتمتع المهاجم بصلاحيات الوصول نفسها التي يتمتع بها العميل الذي تم اعتراض بيانات اعتماده وإرسالها.
نقاط ضعف NTLM
يستغلّ نقل NTLM الثغرات الأمنية الكامنة في بروتوكول NTLM. يعتمد NTLM على عملية مصافحة ثلاثية الخطوات للمصادقة. قد تبدو هذه العملية آمنة ظاهريًا، إلا أن قابليتها لهجمات الترحيل تجعلها نقطة ضعف. تفتقر عملية المصافحة إلى المصادقة المتبادلة، وهي ميزة تسمح للخادم والعميل بالتحقق من صحة بعضهما البعض. وبسبب هذا الغياب، يمكن للمهاجم بسهولة انتحال صفة خادم شرعي للعميل أو العكس.
كيفية التخفيف من مشكلة إعادة توجيه NTLM؟
هناك العديد من الاستراتيجيات الدفاعية التي يمكنك اتباعها لتأمين أنظمتك ضد نقل NTLM. من أهمها استخدام توقيع SMB (كتلة رسالة الخادم). يضمن توقيع SMB سلامة نقل حزم البيانات بين العميل والخادم. يتطلب توقيع المرسل على الحزم، مما يقلل من فرصة نجاح عملية نقل الحزم من قِبل المهاجم، إذ لا يستطيع المهاجم تزوير التوقيعات المطلوبة.
من الاستراتيجيات القيّمة الأخرى تطبيق توقيع LDAP (بروتوكول الوصول إلى الدليل الخفيف) وLDAPS (LDAP عبر SSL). تُقلل هذه الاستراتيجية من معدل نجاح هجمات إعادة توجيه NTLM من خلال تعزيز أمان البيانات أثناء النقل بين وحدات تحكم المجال وخوادم LDAP.
توفر بعض الميزات في الإصدارات المُحدّثة من ويندوز، مثل EPA (الحماية المُوسّعة للمصادقة) وMIC (رمز سلامة الرسائل)، حمايةً إضافيةً ضد هجمات إعادة توجيه NTLM. تضمن EPA تضمين رموز ربط القنوات في طلبات مصادقة NTLM. من ناحية أخرى، تضمن MIC سلامة عملية المصادقة.
خاتمة
في الختام، يُمثل نقل NTLM تهديدًا خفيًا ولكنه قوي لأمن الشبكات، إذ يستغل الثغرات الأمنية الكامنة في بروتوكولات NT LAN Manager. من الضروري لمحترفي الأمن السيبراني فهم هذه الثغرات والسعي لإيجاد طرق فعالة للحد منها. يمكن للتدابير الاستباقية أن تُقلل بشكل كبير من معدل نجاح هذه الهجمات. وتشمل هذه التدابير - على سبيل المثال لا الحصر - تطبيق توقيع SMB، وتطبيق توقيع LDAP وLDAPS، واستخدام ميزات أمنية مثل EPA وMIC. وبما أن نقل NTLM لا يزال يُشكل تحديًا أمنيًا في عالم تكنولوجيا المعلومات، فإن إتقان تقنيات التخفيف من آثاره أمر بالغ الأهمية لضمان أمن شبكات قوي ومنيع.