Открити са две уязвимости в протокола NTLM, но само една е коригирана

ntlm

открити

Xakep #240. Гидра

протокола

Xakep #239. Отворете и проучете

открити

Xakep #238. Забравен Android

една

Xakep #237. Darknet 2018

само

Xakep #240. Гидра

Сега, след пускането на корекцията, изследователите казаха, че проблемите са опасни за всички версии на Windows, пуснати след 2007 г., и някои версии на UNIX, които използват NTLM. Грешката е, че някои от механизмите за удостоверяване, поддържани от Windows чрез Windows Authentication API (SSPI), позволяват на атакуващ да понижи системата за удостоверяване до NTLM.

Методът на изследователите е изграден около добре познатия модел на NTLM релейна атака. Такива атаки предполагат, че потребителят се свързва със заразен компютър, по време на което злонамереният софтуер открадва NTLM идентификационни данни и след това ги прехвърля на трета страна или ги използва за извършване на злонамерени действия от името на нищо неподозиращ потребител.

една

Уязвимостта получи идентификатор CVE-2017-8563. Демонстрация на атаката може да видите във видеото по-долу.

Горният бъг обаче не беше единствената находка на специалистите на Preempt. Изследователите пишат, че една от вариациите на тази атака работи и срещу RDP връзки към заразени компютри. Техниката позволява заобикаляне на RDP Restricted-Admin, така наречения RDP Safe Mode, който специалистите използват за свързване към заразени устройства.Както в случай на атаки срещу LDAP, този метод позволява понижаване на RDP връзка до NTLM.

Въпреки че Microsoft е наясно с този проблем, все още няма решение за него. Така че експертите съветват администраторите не само да инсталират най-новите пачове, но и да активират цифрови подписи за SMB и LDAP, да конфигурират LDAP удостоверяване чрезSSL / TLS, както и да следи отблизо NTLM трафика, за да открие навреме възможни аномалии.