Нові уразливості в протоколі NTLM: патч Microsoft вже доступний

0
89
Нові уразливості в протоколі NTLM: патч Microsoft вже доступний

Фахівці компанії Preempt Security повідомили про двох серйозних уразливість в протоколі аутентификації NTLM (NT LAN Manager), який використовується в середовищі Active Directory. Проблема зачіпає всі корпоративні редакції Windows, випущені з 2007 року.

Що розповіли

Перша уразливість (CVE-2017-8563) зачіпає полегшений протокол доступу до каталогів LDAP. Вона дозволяє викрасти облікові дані, в результаті атакуючий з привілеями рівня SYSTEM зможе використовувати вхідні NTLM-сесії і виконувати LDAP-операції, наприклад, для оновлення об’єктів Active Directory.

Незахищеним виявився і адміністративний режим віддаленого доступу RDP Restricted Admin Mode Windows, який вже експлуатувався під час атак з передачею хеша. З’ясувалося. що він дозволяє знизити рівень аутентифікації до NTLM в процесі встановлення з’єднання, стаючи вразливим до нових атак. У комбінації з проломом у LDAP облікові дані можуть використовуватися для створення підроблених доменних облікових записів і одержання повного контролю над мережею.

Що робити?

В останній Вівторок патчів» Microsoft закрила вразливість CVE-2017-8563 разом з ще 54, 19 з яких були критичними. Захиститися від атак при використанні Restricted Admin Mode можна правильним налаштуванням мережі. Зокрема, експерти Preempt рекомендують додати підписування SMB – і LDAP-пакетів у політиках груп, слідувати рекомендаціям Microsoft по забезпеченню безпечної LDAP-аутентифікації, моніторити NTLM-трафік, а також не надавати права адміністратора співробітникам служби підтримки для віддаленої допомоги.

Оцініть статтю

НАПИСАТИ ВІДПОВІДЬ

Please enter your comment!
Please enter your name here