Luka w NTLM zagraża wszystkim wersjom Windows


 

Luka w NTLM zagraża wszystkim wersjom Windows

14 Październik, 2019

Po gorącym temacie ataku na twórców Muhstik przechodzimy do październikowego Patch Tuesday, w którym użytkownicy otrzymali łatki dla 59 błędów. Wśród nich 9 posiada status krytycznych. Pozostałe zostały sklasyfikowane, jako ważne. Dwie z nich dotyczą protokołu NTLM. 

Microsoft stosuje mechanizmy zapobiegawcze atakom typu NTLM Relay (ataki na środowisko Active Directory), jednak specjaliści z Preempt odkryli, że mają one poważne luki.

Protokół NTLM służy do uwierzytelniania zdalnych użytkowników oraz zapewnienia bezpieczeństwo sesji w momencie kiedy aplikacja wysyła reques. Obecnie w systemach Windows wydanych po roku 2000, został on zastąpiony protokołem Kerberos. Jednak wiele organizacji nadal aktywnie wykorzystuje NTLM. Dzięki wykrytym niedawno podatnościom, atakujący mogą łatwo naruszyć takie infrastruktury. 

Pierwsza podatność dotyczy Message Integrity Code. Microsoft dodał pole MIC aby zablokować ataki mające na celu manipulację wiadomościami NTLM. Jednak wykryte obejście pozwala atakującym modyfikować dowolne pole w przepływie komunikatów NTLM, w tym signing requirement. Tym samym są oni w stanie zmodyfikować przepływ uwierzytelnienia NTLM.

Druga podatność dotyczy Enhanced Protection for Authentication (EPA). Atakujący są w stanie przekierować requesty uwierzytelniania NTLM do dowolnego serwera w domenie. Jeśli mamy do czynienia z uwierzytelnieniem użytkownika z uprawnieniami administratora, przestępcy są w stanie przejąć całą domenę. 

źródło:
https://www.bleepingcomputer.com/news/security/new-microsoft-ntlm-flaws-may-allow-full-domain-compromise/

Zobacz wszystkie artykuły