Você pode executar as etapas a seguir para atenuar a ameaça em um ambiente vulnerável. Porém, essas etapas podem levar a considerações adicionais que aumentam a necessidade de testes inclusivos e de que os administradores estejam cientes do comportamento esperado em seu ambiente após a implementação. Sempre recomendamos a aplicação de patches de fornecedores e atualizações de segurança para lidar com as ameaças.
A Microsoft forneceu as seguintes estratégias de mitigação, que podem reduzir o risco de ataques baseados em
WebDAV-até que as versões atualizadas possam ser aplicadas.
Os clientes podem desativar o serviço
WebClient em execução nas máquinas de suas organizações, semelhante à recomendação abaixo de bloquear o tráfego TCP/445.
NOTA: Esta recomendação bloqueia todas as conexões
WebDAV , incluindo intranet, que podem afetar seus usuários ou aplicativos.
Os seguintes fatores atenuantes podem ser úteis em sua situação:
- Adicione usuários ao grupo de segurança de usuários protegidos, o que impede o uso de NTLM como um mecanismo de autenticação. A execução dessa mitigação torna a solução de problemas mais fácil do que outros métodos de desabilitação do NTLM. Considere usá-lo para contas de alto valor, como administradores de domínio, quando possível.
NOTA: Esta ação pode causar impacto em aplicativos que requerem NTLM, mas as configurações serão revertidas depois que o usuário for removido Grupo de usuários protegidos. Consulte Grupo de segurança de usuários protegidos para obter mais informações.
- Bloqueie a saída TCP 445/SMB de sua rede usando um firewall de perímetro, um firewall local e por meio de suas configurações de VPN. Essa ação impede a transmissão de mensagens de autenticação NTLM para compartilhamentos de arquivos remotos.