Goodnews.ua


Microsoft устранила серьезную уязвимость в протоколе NTLM

Июль 12
20:03 2017

Microsoft устранила серьезную уязвимость в протоколе NTLM

Эксперты компании Preempt Security сообщили о двух уязвимостях повышения привилегий в протоколе аутентификации NTLM (NT LAN Manager), позволяющих создать новую доменную учетную запись администратора и получить полный контроль над целевой сетью.
В рамках июльского «вторника исправлений» компания Microsoft выпустила патч, устраняющий одну из проблем (CVE-2017-8563), вторая остается неисправленной.
NTLM представляет собой набор протоколов аутентификации Microsoft, управление которым осуществляется из групповых политик в службе Active Directory. Уязвимости, описанные специалистами Preempt Security, позволяют атакующему похитить учетные данные аутентификации NTLM в момент аутентификации пользователя при подключении к сетевой папке и передать их на сервер.
В одном из случаев, LDAP (Lightweight Directory Access Protocol) оказался незащищенным от такой передачи. Протокол позволяет атакующему с привилегиями уровня SYSTEM использовать входящие NTLM-сессии и производить LDAP-операции, такие как обновление доменных записей от имени администратора.
Проблема затрагивает все версии Windows, выпущенные с 2007 года, а также при определенных условиях некоторые разновидности систем UNIX, использующих NTLM.
Вторая уязвимость затрагивает защищенный административный режим удаленного доступа (RDP Restricted-Admin-Mode) в Windows, который ранее уже эксплуатировался в атаках с передачей хэша (pass-the-hash). Новая уязвимость позволяет скомпрометировать пользователя RDP-сессии, подключающегося к уже скомпрометированной системе. Проблема существует в связи с тем, что защищенный административный режим удаленного доступа позволяет понизить уровень аутентификации до NTLM в процессе установки соединения. Поскольку использование RDP ограничено пользователями с высокими привилегиями, эти учетные данные находятся в зоне риска, так как могут быть переданы на сторонний сервер и использоваться для создания «левых» доменных учетных записей.
По словам эксперта Preempt Ярона Зинера (Yaron Zinar), установка патча не защитит системы на базе Windows от атак подобного рода. В качестве дополнительной меры предосторожности он порекомендовал добавить подпись SMB- и LDAP-пакетов в политиках групп, а также проверятт NTLM-трафик на предмет аномалий.
LDAP — облегченный протокол доступа к службам каталогов, предназначенный для доступа к службам каталогов на основе X.500. LDAP работает поверх TCP/IP или других ориентированных на соединение сетевых протоколов.

Источник: securitylab.ru

Share

Статьи по теме





Загрузка...

Загрузка...

0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Оставляя свой комментарий, помните о том, что содержание и тон вашего сообщения могут задеть чувства реальных людей, непосредственно или косвенно имеющих отношение к данной новости. Проявляйте уважение и толерантность к своим собеседникам. Пользователи, которые систематически нарушают это правило - будут заблокированы.

Website Protected by Spam Master


Последние новости

Суд отказал защите Януковича в повторном допросе Порошенко

0 комментариев Читать всю статью

Мы в соцсетях