Goodnews.ua


Microsoft устранила серьезную уязвимость в протоколе NTLM

Июль 12
20:03 2017

Microsoft устранила серьезную уязвимость в протоколе NTLM

Эксперты компании Preempt Security сообщили о двух уязвимостях повышения привилегий в протоколе аутентификации NTLM (NT LAN Manager), позволяющих создать новую доменную учетную запись администратора и получить полный контроль над целевой сетью.
В рамках июльского «вторника исправлений» компания Microsoft выпустила патч, устраняющий одну из проблем (CVE-2017-8563), вторая остается неисправленной.
NTLM представляет собой набор протоколов аутентификации Microsoft, управление которым осуществляется из групповых политик в службе Active Directory. Уязвимости, описанные специалистами Preempt Security, позволяют атакующему похитить учетные данные аутентификации NTLM в момент аутентификации пользователя при подключении к сетевой папке и передать их на сервер.
В одном из случаев, LDAP (Lightweight Directory Access Protocol) оказался незащищенным от такой передачи. Протокол позволяет атакующему с привилегиями уровня SYSTEM использовать входящие NTLM-сессии и производить LDAP-операции, такие как обновление доменных записей от имени администратора.
Проблема затрагивает все версии Windows, выпущенные с 2007 года, а также при определенных условиях некоторые разновидности систем UNIX, использующих NTLM.
Вторая уязвимость затрагивает защищенный административный режим удаленного доступа (RDP Restricted-Admin-Mode) в Windows, который ранее уже эксплуатировался в атаках с передачей хэша (pass-the-hash). Новая уязвимость позволяет скомпрометировать пользователя RDP-сессии, подключающегося к уже скомпрометированной системе. Проблема существует в связи с тем, что защищенный административный режим удаленного доступа позволяет понизить уровень аутентификации до NTLM в процессе установки соединения. Поскольку использование RDP ограничено пользователями с высокими привилегиями, эти учетные данные находятся в зоне риска, так как могут быть переданы на сторонний сервер и использоваться для создания «левых» доменных учетных записей.
По словам эксперта Preempt Ярона Зинера (Yaron Zinar), установка патча не защитит системы на базе Windows от атак подобного рода. В качестве дополнительной меры предосторожности он порекомендовал добавить подпись SMB- и LDAP-пакетов в политиках групп, а также проверятт NTLM-трафик на предмет аномалий.
LDAP — облегченный протокол доступа к службам каталогов, предназначенный для доступа к службам каталогов на основе X.500. LDAP работает поверх TCP/IP или других ориентированных на соединение сетевых протоколов.

Источник: securitylab.ru

Share

Статьи по теме





Загрузка...

Загрузка...

0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Оставляя свой комментарий, помните о том, что содержание и тон вашего сообщения могут задеть чувства реальных людей, непосредственно или косвенно имеющих отношение к данной новости. Проявляйте уважение и толерантность к своим собеседникам. Пользователи, которые систематически нарушают это правило - будут заблокированы.

Website Protected by Spam Master


Последние новости

    Мама двоих детей нарисовала свои будни. На ее иллюстрациях все родители узнают себя

Мама двоих детей нарисовала свои будни. На ее иллюстрациях все родители узнают себя

0 комментариев Читать всю статью

Мы в соцсетях