en

‫ کشف باگ جدید در پروتکل NTLM ویندوز

این ماه مایکروسافت یک وصله ‏‏ی امنیتی، برای یک آسیب‏ پذیری جدی (ارتقاء دسترسی) منتشر نموده است که تمامی نسخه ‏های ویندوز، از 2007 به بعد را تحت تأثیر قرار می‏ دهد.

محققان امنیتی شرکت Preemptدو آسیب‏پذیری zero-day در پروتکل امنیتی NTLMویندوز کشف کرده ‏اند، هر دوی این آسیب‏ پذیری‏ها به مهاجم اجازه می‏ دهند که یک دامنه جدید ایجاد نموده و آن را به طور کامل کنترل نماید.

NT LAN Manager (NTLM) یک پروتکل احراز هویت قدیمی است که در شبکه‏ های شامل سیستم عامل‏ های ویندوز و همچنین در سیستم ‏های مستقل مورد استفاده قرار می‏گیرد.

اگرچه NTLMتوسط Kerberosدر ویندوز 2000جایگزین شده است که امنیت بیشتری را در سیستم ‏های شبکه ‏ای فراهم آورد، اما همچنان توسط مایکروسافت پشتیبانی می‏شود و کماکان به صورت گسترده مورد استفاده قرار می‏گیرد.

در NTLM، به سادگی، هر زمان که یک کاربر می‏خواهد به سرور متصل شود، سرور یک challengeرا مطرح می‏کند و کاربر challengeرا با پسورد هش خود رمزگذاری می‏کند. مهاجم می‏تواند یک نشست همزمان با سروری که می‏خواهد به آن حمله کند ایجاد نماید و از همان Challengeاستفاده کند، و همان هش رمزگذاری شده را به منظور ایجاد یک احراز هویت موفق در NTLMارسال نماید. با استفاده از احراز هویتِ موفقیت‎آمیزِ NTLM، مهاجم می‏تواند یک نشست Server Message Block(SMB) را باز نموده و سیستم هدف را با نرم‏افزارهای مخرب آلوده کند.

اولین آسیب‏ پذیری، Lightweight Directory Access Protocol(LDAP) حفاظت نشده از NTLMرا درگیر می‏کند، و دومی Remote Desktop Protocol (RDP) را تحت تأثیر قرار می‏ دهد.

LDAPبه اندازه کافی در مقابل حملات NTLMمقاوم نیست، حتی زمانی که LDAPساخته شده و معیارهای دفاعی برای آن مشخص گردیده است تنها از حملات Man-in-the-middle(MitM)محافظت می‏کند، نه از رد و بدل شدن اعتبارسنجی‏ ها.

این آسیب‏پذیری به مهاجم با دسترسی SYSTEMبر روی سیستم هدف، اجازه می‏دهد که از نشست‏ های NTLMورودی استفاده نموده و عملیات LDAPرا انجام دهد، مانند به روزرسانی object‏های دامنه از طرف کاربر NTLM.

Yaron Zinarاز Preemptدر رابطه با جزئیات آسیب‎پذیری می‏گوید: "به منظور پی بردن به میزان حساسیت موضوع، باید تمامی پروتکل‏ های ویندوز، که از APIاحرازِ هویتِ ویندوز (SSPI) استفاده میکنند و اجازه می‏ دهند نشست احراز هویت به سمت NTLMسوق یابد را بررسی نمود."

" درنتیجه، هر اتصالی در سیستم‌های مورد استفاده نظیر (SMB, WMI, SQL, HTTP) با کاربری ادمین به مهاجم اجازه دسترسی به تمام قابلیت‌های ویندوز را می‌دهد. "

دومین آسیب‎پذیریِ NTLMپروتکل Remote Desktop Protocol Restricted-Admin mode را تحت تأثیر قرار می‏دهد. حالتِ RDP Restricted-Admin به کاربران این امکان را می‏دهد که بدون وارد نمودن پسورد از راه دور به یک کامپیوتر متصل گردند.

به گفته‏ی محققانِ Preempt، RDP Restricted-Adminبه سیستم‎های احراز هویت اجازه می‏دهد که به سمت NTLMسوق یابند. این بدان معنی است که حملات صورت گرفته با NTLM،مانند اعتبارسنجی و کرک نمودن پسورد، علیه RDP Restricted-Adminنیز می‏تواند اجرا گردد.

زمانی که با آسیب‎پذیری LDAPهمراه باشد، مهاجم می‏تواند هر زمان که یک ادمین با RDP Restricted-Admin متصل می‎شود یک دامنه‏ ی جعلی با حساب کاربری ادمین ایجاد نماید و کنترل کل دامنه را به دست بگیرد.

محققان در ماه آپریل آسیب‎پذیری‏های LDAPو RDPدر NTLMرا کشف نموده و به صورت مخفیانه به مایکروسافت گزارش نمودند. با این حال، مایکروسافت آسیب‏پذیری NTLM LDAPرا در ماه مَی اعلام کرد، و نام CVE-2017-8563را به آن اختصاص داد، اما باگ RDPرا رد نمود، و ادعا کرد که این یک مسئله ‏ی شناخته شده است و باید جهت مصون ماندن از هر گونه حمله‏ ی NTLMشبکه را پیکربندی نمود.

مایکروسافت در مشاوره خود توضیح داد: "در سناریوی یک حمله ‏ی از راه دور، مهاجم می‎تواند با اجرای یک اپلیکیشن خاص جهت ارسال ترافیک مخرب به Domain Controllerاین آسیب‏ پذیری را اکسپلویت نماید. مهاجمی که موفق به اکسپلویت نمودن این آسیب پذیری شد می‏تواند پروسه‏ ها را در یک بستر بالقوه اجرا کند."

جهت دریافت گزارش کلیک نمایید


The Wall

No comments
You need to sign in to comment