Dvije ranjivosti utječu na Microsoft Windows NT LAN Manager (NTLM).
U sigurnosnim protokolima sustava Microsoft Windows otkrivene su dvije ranjivosti koje bi mogle dovesti do probijanja lozinki i ugrožavanja domene, upozorili su istraživači.
Istaknuto
- Zašto više ljudi ne koristi desktop Linux? Imam teoriju koja ti se možda neće svidjeti
- U osnovi ne morate puniti ovaj Garmin pametni sat
- 3 osnovna Windows alata za rješavanje problema (i kako ih koristiti)
- Vraćaš se u školu? Ovo su najbolje ponude za studente da uštede na tehnici
Ovaj tjedan, Preempt sigurnosni tim rekao je greške su otkrivene u sigurnosnim protokolima Microsoft Windows NT LAN Manager (NTLM), paketu sigurnosnog softvera koji je zamijenio stariju platformu Windows LAN Manager (LANMAN).
Prema Prisvojiti, ranjivosti se odnose na različite protokole koji neispravno rukuju NTLM-om.
"Ovi problemi su posebno značajni jer potencijalno mogu dopustiti napadaču da stvori novog administratora domene računa čak i kada su omogućene kontrole najbolje prakse kao što je potpisivanje LDAP poslužitelja i ograničeni administratorski način RDP-a," tvrtka kaže.
Prva ranjivost, CVE-2017-8563, odnosi se na nezaštićeni Lightweight Directory Access Protocol (LDAP) iz NTLM releja.
LDAP je namijenjen za zaštitu od Man-in-the-Middle (MitM) napada i prosljeđivanja vjerodajnica, ali sigurnosni nedostatak znači da to ne štiti uvijek od prosljeđivanja vjerodajnica.
Kao takav, kada Windows protokoli koriste Windows Authentication API (SSPI) -- koji omogućuje vraćanje na stariju verziju sesije provjere autentičnosti na NTLM -- svaka sesija može biti ugrožena ako je povezana sa zaraženim mašina.
Ako kompromitirani sustav ima administratora domene, tada napadači mogu stvoriti administratorski račun koji im daje kontrolu nad napadnutom mrežom.
Drugi problem, koji nije dodijeljen CVE, odnosi se na RDP Restricted-Admin Mode. Preempt kaže da se korisnici mogu spojiti na udaljeni stroj bez dobrovoljnog davanja svoje lozinke udaljenom stroju koji bi mogao biti ugrožen.
"DP Restricted-Admin Mode omogućuje korisnicima da se povežu na udaljeno računalo bez dobrovoljnog davanja svoje lozinke udaljenom računalu koje bi moglo biti ugroženo", kaže tim. "Kao rezultat toga, svaki napad izveden s NTLM-om, poput prijenosa vjerodajnica i probijanja lozinki, mogao bi se izvesti protiv RDP Restricted-Admin.
"Svaki put kada se administrator poveže s protokolima kao što su RDP Restricted-Admin, HTTP ili File Share (SMB), napadač bi mogao potencijalno stvoriti lažnog administratora domene, pokazujući značaj ovih otkrića u sigurnosnom protokolu NTLM," dodao tim.
Preempt je prijavio greške Microsoftu 2. travnja. Unutar četiri dana Microsoft je potvrdio prvobitno izvješće, a nakon daljnja tri dana oba su problema primljena.
Za CVE-2017-8563, popravak je objavljen kao dio srpnja Patch Tuesday, a za drugi problem, Microsoft je rekao da je to "poznat problem" koji zahtijeva mrežnu konfiguraciju kako bi se spriječio zlonamjerni NTLM releji.
Prema Preemptu, korištenje NTLM-a uopće je vrlo rizično, ali ako tvrtke moraju koristiti protokol na svojoj mreži, trebale bi napraviti LDAP autentifikaciju preko SSL/TLS-a sigurnije, instalirajte zakrpu za CVE-2017-8563 na svim kontrolerima domene ako automatska ažuriranja nisu omogućena i omogućite "Zahtijevaj LDAP potpisivanje" u GPO postavkama.
Vidi također: Microsoft izdaje hitnu zakrpu za 'ludo lošu' grešku nultog dana Windowsa
Kao dio Microsoftovog mjesečnog izdanja Patch Tuesday, div iz Redmonda zakrpao je 54 ranjivosti u sustavima Windows, Edge, Internet Explorer, Office i Exchange. Ukupno je 19 grešaka ocijenjeno kritičnim.