События

Microsoft устранила серьезную уязвимость в протоколе NTLM

Microsoft устранила серьезную уязвимость в протоколе NTLM

Эксперты компании Preempt Security сообщили о двух уязвимостях повышения привилегий в протоколе аутентификации NTLM (NT LAN Manager), позволяющих создать новую доменную учетную запись администратора и получить полный контроль над целевой сетью.

В рамках июльского «вторника исправлений» компания Microsoft выпустила патч, устраняющий одну из проблем (CVE-2017-8563), вторая остается неисправленной.

NTLM представляет собой набор протоколов аутентификации Microsoft, управление которым осуществляется из групповых политик в службе Active Directory. Уязвимости, описанные специалистами Preempt Security, позволяют атакующему похитить учетные данные аутентификации NTLM в момент аутентификации пользователя при подключении к сетевой папке и передать их на сервер.

В одном из случаев, LDAP (Lightweight Directory Access Protocol) оказался незащищенным от такой передачи. Протокол позволяет атакующему с привилегиями уровня SYSTEM использовать входящие NTLM-сессии и производить LDAP-операции, такие как обновление доменных записей от имени администратора.

Проблема затрагивает все версии Windows, выпущенные с 2007 года, а также при определенных условиях некоторые разновидности систем UNIX, использующих NTLM.

Вторая уязвимость затрагивает защищенный административный режим удаленного доступа (RDP Restricted-Admin-Mode) в Windows, который ранее уже эксплуатировался в атаках с передачей хэша (pass-the-hash). Новая уязвимость позволяет скомпрометировать пользователя RDP-сессии, подключающегося к уже скомпрометированной системе. Проблема существует в связи с тем, что защищенный административный режим удаленного доступа позволяет понизить уровень аутентификации до NTLM в процессе установки соединения. Поскольку использование RDP ограничено пользователями с высокими привилегиями, эти учетные данные находятся в зоне риска, так как могут быть переданы на сторонний сервер и использоваться для создания «левых» доменных учетных записей.

По словам эксперта Preempt Ярона Зинера (Yaron Zinar), установка патча не защитит системы на базе Windows от атак подобного рода. В качестве дополнительной меры предосторожности он порекомендовал добавить подпись SMB- и LDAP-пакетов в политиках групп, а также проверятт NTLM-трафик на предмет аномалий.

LDAP - облегченный протокол доступа к службам каталогов, предназначенный для доступа к службам каталогов на основе X.500. LDAP работает поверх TCP/IP или других ориентированных на соединение сетевых протоколов.

Источник

Автор: Сергей Куприянов
12.07.2017 (16:47)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.