Новые уязвимости в протоколе NTLM: патч Microsoft уже доступен

Автор: Богдан Чуб, 12 июля 2017, 20:03

Специалисты компании Preempt Security сообщили о двух серьезных уязвимостях в протоколе аутентификации NTLM (NT LAN Manager), который используется в среде Active Directory. Проблема затрагивает все корпоративные редакции Windows, выпущенные с 2007 года.

Что рассказали

Первая уязвимость (CVE-2017-8563) затрагивает облегченный протокол доступа к каталогам LDAP. Она позволяет похитить учетные данные, в результате атакующий с привилегиями уровня SYSTEM сможет использовать входящие NTLM-сессии и выполнять LDAP-операции, например, для обновления объектов Active Directory.

Незащищенным оказался и административный режим удаленного доступа RDP Restricted Admin Mode в Windows, который уже эксплуатировался во время атак с передачей хэша. Выяснилось. что он позволяет понизить уровень аутентификации до NTLM в процессе установки соединения, становясь уязвимым к новым атакам. В комбинации с брешью в LDAP учетные данные могут использоваться для создания поддельных доменных учетных записей и получения полного контроля над сетью.

Что делать?

В последний «Вторник патчей» Microsoft закрыла уязвимость CVE-2017-8563 вместе с еще 54, 19 из которых были критическими. Защититься от атак при использовании Restricted Admin Mode можно правильной настройкой сети. В частности, эксперты Preempt рекомендуют добавить подписи SMB- и LDAP-пакетов в политиках групп, следовать рекомендациям Microsoft по обеспечению безопасной LDAP-аутентификации, мониторить NTLM-трафик, а также не предоставлять права администратора сотрудникам службы поддержки для удаленной помощи.

 

Источники: Preempt, The Hacker News