Эксперты компании Preempt Security сообщили о двух уязвимостях повышения привилегий в протоколе аутентификации NTLM (NT LAN Manager), позволяющих создать новую доменную учетную запись администратора и получить полный контроль над целевой сетью.
В рамках июльского «вторника исправлений» компания Microsoft выпустила патч, устраняющий одну из проблем (CVE-2017-8563), вторая остается неисправленной.
NTLM представляет собой набор протоколов аутентификации Microsoft, управление которым осуществляется из групповых политик в службе Active Directory. Уязвимости, описанные специалистами Preempt Security, позволяют атакующему похитить учетные данные аутентификации NTLM в момент аутентификации пользователя при подключении к сетевой папке и передать их на сервер.
В одном из случаев, LDAP (Lightweight Directory Access Protocol) оказался незащищенным от такой передачи. Протокол позволяет атакующему с привилегиями уровня SYSTEM использовать входящие NTLM-сессии и производить LDAP-операции, такие как обновление доменных записей от имени администратора.
Проблема затрагивает все версии Windows, выпущенные с 2007 года, а также при определенных условиях некоторые разновидности систем UNIX, использующих NTLM.
Вторая уязвимость затрагивает защищенный административный режим удаленного доступа (RDP Restricted-Admin-Mode) в Windows, который ранее уже эксплуатировался в атаках с передачей хэша (pass-the-hash). Новая уязвимость позволяет скомпрометировать пользователя RDP-сессии, подключающегося к уже скомпрометированной системе. Проблема существует в связи с тем, что защищенный административный режим удаленного доступа позволяет понизить уровень аутентификации до NTLM в процессе установки соединения. Поскольку использование RDP ограничено пользователями с высокими привилегиями, эти учетные данные находятся в зоне риска, так как могут быть переданы на сторонний сервер и использоваться для создания «левых» доменных учетных записей.
По словам эксперта Preempt Ярона Зинера (Yaron Zinar), установка патча не защитит системы на базе Windows от атак подобного рода. В качестве дополнительной меры предосторожности он порекомендовал добавить подпись SMB- и LDAP-пакетов в политиках групп, а также проверятт NTLM-трафик на предмет аномалий.
LDAP — облегченный протокол доступа к службам каталогов, предназначенный для доступа к службам каталогов на основе X.500. LDAP работает поверх TCP/IP или других ориентированных на соединение сетевых протоколов.

Источник: securitylab.ru