كشف يك حفره بحرانی در اكتيو دايركتوری

شماره: IRCNE2014072259
تاريخ: 93/04/30

يك شركت امنيتي اظهار داشت كه يك مشكل بحراني طراحي در اكتيو دايركتوري مايكروسافت وجود دارد كه باعث مي شود مهاجم بتواند رمز عبور شبكه كاربر را تغيير دهد اما شركت مايكروسافت اين ادعا را رد كرد و اعلام كرد اين مساله قبلا شناسايي شده است و راه حل هاي برطرف كردن آن نيز موجود است.
محققان اين شركت بر روي پروتكلNTLM متمركز شده اند. پروتكل NTLM يك پروتكل تاييد هويت است كه تمامي نسخه هاي ويندوز پيش از ويندوز XP SP3 به طور پيش فرض از آن استفاده مي كنند و نسخه هاي جديد ويندوز نيز در تركيب با Kerberos با اين پروتكل سازگار است.
اين پروتكل نسبت به حملات دور زدن الگوريتم درهم ساز آسيب پذير است. در اين حملات مهاجم اعتبارنامه هاي ورودي را بدست مي آورد و با استفاده از محاسبات رياضي اين اعتبارنامه ها (الگوريتم درهم ساز) مي تواند به سرويس ها و رايانه هاي ديگر دسترسي يابد.
حملات دور زدن الگوريتم درهم ساز يك ضعف قديمي در سيستم هاي SSO مي باشد. سيستم عامل هاي ديگري كه از SSO استفاده مي نمايند نيز تحت تاثير اين حملات قرار دارند.
غيرفعال كردن SSO اين مشكل را برطرف مي كند اما مستلزم آن است كه كاربر شبكه براي دسترسي به هر سيستمي بايد هر بار رمز عبور خود را وارد نمايد.
اگرچه برخي شركت ها استفاده از پروتكل NTLM را محدود كرده اند اما مهاجم مي تواند كلاينت را مجبور نمايد تا با استفاده از يك پروتكل ضعيف مانند RC4-HMAC كه از درهم ساز NTLM استفاده مي كند، در اكتيو دايركتوري تاييد هويت شود. سپس درهم ساز NTLM توسط Kerberos پذيرفته مي شود و يك تيكت تاييد هويت تازه را منتشر مي كند.
شركت مايكروسافت پروتكل Kerberos را به منظور فرار از مشكلات امنيتي NTLM پياده سازي كرد اما اين پروتكل با RC4-HMAC كار مي كند كه اجازه سازگاري با سيستم هاي قديمي را مي دهد. شركت مايكروسافت اعلام كر د كه مشكلات مربوط به NTLM در گزارش فني سال 2012 تاييد شده است.
در ماه مي، شركت مايكروسافت اصلاحيه اي براي اين مشكل منتشر كرد. هم چنين اين شركت به سازمان ها توصيه كرد تا از كارت هاي هوشمند استفاده نمايند يا پشتيباني از Kerberos RC4-HMAC را بر روي تمامي كنترل كننده هاي دامنه غيرفعال نمايند. اما به نظر مي رسد كه اين راه حل يك راه حل عملياتي نيست.