Фахівці компанії Preempt Security повідомили про дві серйозні уразливjсті в протоколі аутентификації NTLM (NT LAN Manager), який використовується в середовищі Active Directory. Проблема зачіпає всі корпоративні редакції Windows, випущені з 2007 року.
Що розповіли
Перша уразливість (CVE-2017-8563) зачіпає полегшений протокол доступу до каталогів LDAP. Вона дозволяє викрасти облікові дані, в результаті атакуючий з привілеями рівня SYSTEM зможе використовувати вхідні NTLM-сесії і виконувати LDAP-операції, наприклад, для оновлення об’єктів Active Directory.
Незахищеним виявився і адміністративний режим віддаленого доступу RDP Restricted Admin Mode Windows, який вже експлуатувався під час атак з передачею хеша. З’ясувалося. що він дозволяє знизити рівень аутентифікації до NTLM в процесі встановлення з’єднання, стаючи вразливим до нових атак. У комбінації з проломом у LDAP облікові дані можуть використовуватися для створення підроблених доменних облікових записів і одержання повного контролю над мережею.
Що робити?
В останній “Вівторок патчів” Microsoft закрила вразливість CVE-2017-8563 разом з ще 54, 19 з яких були критичними. Захиститися від атак при використанні Restricted Admin Mode можна правильнjve налаштуванні мережі. Зокрема, експерти Preempt рекомендують додати підписування SMB – і LDAP-пакетів у політиках груп, слідувати рекомендаціям Microsoft по забезпеченню безпечної LDAP-аутентифікації, моніторити NTLM-трафік, а також не надавати права адміністратора співробітникам служби підтримки для віддаленої допомоги.
Закінчив магістратуру КПІ за спеціальністю “Інженерія програмного забезпечення.”
Захистив кандидатську за темою: “Проектування дидактичної системи інноваційної підготовки фахівців в області програмної інженерії”.
Працюю і пишу на теми, пов’язані з програмуванням, влаштуванням комп’ютерів і комп’ютерних систем.
