
Peneliti keamanan siber telah menemukan bahwa Kebijakan Grup Direktori Aktif Microsoft yang dirancang untuk menonaktifkan NT LAN Manager (NTLM) v1 dapat dilewati dengan mudah karena kesalahan konfigurasi.
“Kesalahan konfigurasi sederhana dalam aplikasi lokal dapat mengesampingkan Kebijakan Grup, yang secara efektif meniadakan Kebijakan Grup yang dirancang untuk menghentikan otentikasi NTLMv1,” kata peneliti Silverfort Dor Segal dalam laporan yang dibagikan kepada The Hacker News.
NTLM adalah mekanisme yang masih banyak digunakan khususnya di lingkungan Windows untuk mengautentikasi pengguna di seluruh jaringan. Protokol lama, meskipun tidak dihapus karena persyaratan kompatibilitas ke belakang, sudah tidak digunakan lagi pada pertengahan tahun 2024.

Akhir tahun lalu, Microsoft secara resmi menghapus NTLMv1 mulai Windows 11, versi 24H2, dan Windows Server 2025. Meskipun NTLMv2 memperkenalkan mitigasi baru untuk mempersulit melakukan serangan relai, teknologi ini telah dikepung oleh beberapa kelemahan keamanan yang telah dieksploitasi secara aktif oleh aktor ancaman untuk mengakses data sensitif.
Dalam mengeksploitasi kelemahan ini, idenya adalah untuk memaksa korban untuk mengautentikasi ke titik akhir yang sewenang-wenang, atau menyampaikan informasi autentikasi terhadap target yang rentan dan melakukan tindakan jahat atas nama korban.
“Mekanisme Kebijakan Grup adalah solusi Microsoft untuk menonaktifkan NTLMv1 di seluruh jaringan,” jelas Segal. “Kunci registri LMCompatibilityLevel mencegah Pengontrol Domain mengevaluasi pesan NTLMv1 dan mengembalikan kesalahan kata sandi yang salah (0xC000006A) saat mengautentikasi dengan NTLMv1.”

Namun, penyelidikan Silverfort menemukan bahwa ada kemungkinan untuk menghindari Kebijakan Grup dan masih menggunakan otentikasi NTLMv1 dengan memanfaatkan pengaturan di Netlogon Remote Protocol (MS-NRPC).
Secara khusus, ini memanfaatkan struktur data yang disebut NETLOGON_LOGON_IDENTITY_INFO, yang berisi bidang bernama ParameterControl yang, pada gilirannya, memiliki konfigurasi untuk “Izinkan otentikasi NTLMv1 (MS-NLMP) ketika hanya NTLMv2 (NTLM) yang diizinkan.”
“Penelitian ini menunjukkan aplikasi lokal dapat dikonfigurasi untuk mengaktifkan NTLMv1, meniadakan Tingkat Tertinggi dari tingkat otentikasi Manajer LAN Kebijakan Grup yang diatur dalam Direktori Aktif,” kata Segal.

Artinya, organisasi berpikir mereka melakukan hal yang benar dengan menetapkan kebijakan grup ini, namun kebijakan tersebut masih dilewati oleh aplikasi yang salah dikonfigurasi.
Untuk mengurangi risiko yang ditimbulkan oleh NTLMv1, penting untuk mengaktifkan log audit untuk semua otentikasi NTLM di domain dan mengawasi aplikasi rentan yang meminta klien untuk menggunakan pesan NTLMv1. Organisasi juga disarankan untuk selalu memperbarui sistemnya.
Temuan terbaru ini mengikuti laporan dari peneliti keamanan Haifei Li tentang “perilaku zero-day” pada artefak PDF yang ditemukan di alam liar yang dapat membocorkan informasi net-NTLM lokal ketika dibuka dengan Adobe Reader atau Foxit PDF Reader dalam kondisi tertentu. Foxit Software telah mengatasi masalah dengan versi 2024.4 untuk Windows.
Pengungkapan ini juga muncul ketika peneliti Keamanan HN Alessandro Iandoli merinci bagaimana berbagai fitur keamanan di Windows 11 (sebelum versi 24H2) dapat dilewati untuk mencapai eksekusi kode arbitrer di tingkat kernel.