У протоколі NTLM виявлено дві вразливості, але виправлено лише одну

виявлено

виявлено

Xakep #240. Ghidra

вразливості

Xakep #239. Розкрити та вивчити

вразливості

Xakep #238. Забутий Android

виправлено

Xakep #237. Даркнет 2018

виявлено

Xakep #240. Ghidra

Тепер, після виходу патчу, дослідники розповіли, що проблеми небезпечні для всіх версій Windows, що вийшли після 2007 року та деяких версій UNIX, які використовують NTLM. Баг полягають у тому, деякі механізми автентифікації, підтримувані Windows за допомогою Windows Authentication API (SSPI), дозволяють зловмиснику знизити систему автентифікації до NTLM.

Метод дослідників будується довкола давно відомої моделі атак NTLM relay. Такі атаки припускають, що користувач підключається до зараженого комп'ютера, під час чого малвар викрадає облікові дані NTLM, а потім передає їх третій стороні або використовує для виконання шкідливих дій, що нічого не підозрює користувача.

вразливості

Вразливість набула ідентифікатор CVE-2017-8563. Демонстрацію атаки можна побачити у ролику нижче.

Однак вищезгаданий баг став не єдиною знахідкою фахівців Preempt. Дослідники пишуть, що одна з варіацій цієї атаки працює і проти RDP-з'єднань із зараженими комп'ютерами. Методика дозволяє обійти RDP Restricted-Admin, так званий RDP Safe Mode, яким фахівці користуються для підключення до інфікованих пристроїв.

Хоча фахівці Microsoft знають і про цю проблему, виправлення для неї поки що немає. Так що експерти радять адміністраторам не тільки встановити свіжі патчі, але й увімкнути цифрові підписи для SMB та LDAP, налаштувати LDAP-автентифікацію черезSSL/TLS, а також уважно стежити за NTLM-трафіком, щоб вчасно виявляти можливі аномалії.