این ماه مایکروسافت یک وصله ی امنیتی، برای یک آسیب پذیری جدی (ارتقاء دسترسی) منتشر نموده است که تمامی نسخه های ویندوز، از 2007 به بعد را تحت تأثیر قرار می دهد.
محققان امنیتی شرکت Preempt دو آسیبپذیری zero-day در پروتکل امنیتی NTLM ویندوز کشف کرده اند، هر دوی این آسیب پذیریها به مهاجم اجازه می دهند که یک دامنه جدید ایجاد نموده و آن را به طور کامل کنترل نماید.
NT LAN Manager (NTLM) یک پروتکل احراز هویت قدیمی است که در شبکه های شامل سیستم عامل های ویندوز و همچنین در سیستم های مستقل مورد استفاده قرار میگیرد.
اگرچه NTLMتوسط Kerberos در ویندوز 2000جایگزین شده است که امنیت بیشتری را در سیستم های شبکه ای فراهم آورد، اما همچنان توسط مایکروسافت پشتیبانی میشود و کماکان به صورت گسترده مورد استفاده قرار میگیرد.
در NTLM، به سادگی، هر زمان که یک کاربر میخواهد به سرور متصل شود، سرور یک challenge را مطرح میکند و کاربر challenge را با پسورد هش خود رمزگذاری میکند. مهاجم میتواند یک نشست همزمان با سروری که میخواهد به آن حمله کند ایجاد نماید و از همان Challenge استفاده کند، و همان هش رمزگذاری شده را به منظور ایجاد یک احراز هویت موفق در NTLMارسال نماید. با استفاده از احراز هویتِ موفقیتآمیزِ NTLM، مهاجم میتواند یک نشست Server Message Block(SMB) را باز نموده و سیستم هدف را با نرمافزارهای مخرب آلوده کند.
اولین آسیب پذیری، Lightweight Directory Access Protocol(LDAP) حفاظت نشده از NTLM را درگیر میکند، و دومی Remote Desktop Protocol (RDP) را تحت تأثیر قرار می دهد.
LDAP به اندازه کافی در مقابل حملات NTLM مقاوم نیست، حتی زمانی که LDAP ساخته شده و معیارهای دفاعی برای آن مشخص گردیده است تنها از حملات Man-in-the-middle(MitM)محافظت میکند، نه از رد و بدل شدن اعتبارسنجی ها.
این آسیبپذیری به مهاجم با دسترسی SYSTEM بر روی سیستم هدف، اجازه میدهد که از نشست های NTLMورودی استفاده نموده و عملیات LDAPرا انجام دهد، مانند به روزرسانی objectهای دامنه از طرف کاربر NTLM.
Yaron Zinar از Preempt در رابطه با جزئیات آسیبپذیری میگوید: "به منظور پی بردن به میزان حساسیت موضوع، باید تمامی پروتکل های ویندوز، که از API احرازِ هویتِ ویندوز (SSPI) استفاده میکنند و اجازه می دهند نشست احراز هویت به سمت NTLM سوق یابد را بررسی نمود."
"درنتیجه، هر اتصالی در سیستمهای مورد استفاده نظیر (SMB, WMI, SQL, HTTP) با کاربری ادمین به مهاجم اجازه دسترسی به تمام قابلیتهای ویندوز را میدهد."
دومین آسیبپذیریِ NTLM پروتکل Remote Desktop Protocol Restricted-Admin mode را تحت تأثیر قرار میدهد. حالتِ RDP Restricted-Admin به کاربران این امکان را میدهد که بدون وارد نمودن پسورد از راه دور به یک کامپیوتر متصل گردند.
به گفتهی محققانِ Preempt، RDP Restricted-Admin به سیستمهای احراز هویت اجازه میدهد که به سمت NTLM سوق یابند. این بدان معنی است که حملات صورت گرفته با NTLM،مانند اعتبارسنجی و کرک نمودن پسورد، علیه RDP Restricted-Admin نیز میتواند اجرا گردد.
زمانی که با آسیبپذیری LDAPهمراه باشد، مهاجم میتواند هر زمان که یک ادمین با RDP Restricted-Admin متصل میشود یک دامنه ی جعلی با حساب کاربری ادمین ایجاد نماید و کنترل کل دامنه را به دست بگیرد.
محققان در ماه آپریل آسیبپذیریهای LDAP و RDP در NTLM را کشف نموده و به صورت مخفیانه به مایکروسافت گزارش نمودند. با این حال، مایکروسافت آسیبپذیری NTLM LDAP را در ماه مَی اعلام کرد، و نام CVE-2017-8563 را به آن اختصاص داد، اما باگ RDP را رد نمود، و ادعا کرد که این یک مسئله ی شناخته شده است و باید جهت مصون ماندن از هر گونه حمله ی NTLM شبکه را پیکربندی نمود.
مایکروسافت در مشاوره خود توضیح داد: "در سناریوی یک حمله ی از راه دور، مهاجم میتواند با اجرای یک اپلیکیشن خاص جهت ارسال ترافیک مخرب به Domain Controller این آسیب پذیری را اکسپلویت نماید. مهاجمی که موفق به اکسپلویت نمودن این آسیب پذیری شد میتواند پروسه ها را در یک بستر بالقوه اجرا کند."
جهت دریافت گزارش کلیک نمایید
- 38