0
Preempt
Due vulnerabilità sono state scoperte in Microsoft Windows protocolli di sicurezza che potrebbe portare a cracking di password e dominio di compromesso, i ricercatori hanno messo in guardia.
Questa settimana, l’Anticipare il team di sicurezza ha detto che il bug sono stati scoperti in Microsoft Windows NT LAN Manager (NTLM) protocolli di sicurezza, una suite di software di sicurezza, che ha sostituito il vecchio Windows LAN Manager (LANMAN) piattaforma.
Secondo Anticipare, le vulnerabilità riguardano diversi protocolli di gestione NTLM in modo improprio.
“Questi problemi sono particolarmente significativi perché può consentire a un utente malintenzionato di creare un nuovo account di amministratore di dominio, anche quando di best practice controlli come server LDAP firma e RDP limitato modalità admin sono enabled”, afferma l’azienda.
La prima vulnerabilità CVE-2017-8563, si riferisce a una non protetta Lightweight Directory Access Protocol (LDAP) da un NTLM relè.
LDAP è destinato a proteggere contro il Man-in-the-Middle (MitM), gli attacchi e l’inoltro delle credenziali, ma la falla di sicurezza significa che questo non sempre proteggere contro l’inoltro delle credenziali.
Come tale, quando Windows protocolli di utilizzare l’Autenticazione di Windows API (SSPI) – che permette il downgrade di una sessione di autenticazione NTLM — ogni sessione può essere compromessa se collegato ad un computer infetto.
Se un sistema compromesso è un amministratore di dominio, quindi gli hacker possono creare un account di amministratore che dà loro il controllo su un’attaccato rete.
Il secondo problema, che non è CVE ricevuto, si riferisce a RDP Limitato Modalità Amministratore. Anticipare dice che gli utenti sono in grado di connettersi a un computer remoto senza il volontariato la propria password per il computer remoto che potrebbe essere compromessa.
“DP Limitato-Admin Modalità consente agli utenti di connettersi a un computer remoto senza il volontariato la propria password per il computer remoto che potrebbe essere compromessa, il” team dice. “Come risultato, ogni attacco effettuato con NTLM, quali credenziali di stabulazione e di cracking di password, potrebbe essere svolte contro RDP Limitato Admin.
“Ogni volta che un admin si collega con protocolli come RDP Limitato Admin, HTTP o Condivisione di File (SMB), un utente malintenzionato potrebbe potenzialmente creare una canaglia di amministratore di dominio, dimostrando l’importanza di questi risultati nel NTLM protocollo di sicurezza”, il team ha aggiunto.
Anticipare segnalato il bug a Microsoft il 2 aprile. Entro quattro giorni Microsoft ha ammesso la relazione iniziale, e dopo altri tre giorni, entrambe le questioni sono state riconosciute.
Per CVE-2017-8563, una correzione è stato rilasciato come parte di luglio il martedì delle Patch, e per il secondo problema, Microsoft ha detto che è un “problema noto”, che non richiede la configurazione di rete per impedire attacchi NTLM relè.
Secondo Anticipare, l’utilizzo di NTLM è molto rischioso, ma se le imprese devono utilizzare il protocollo sulla loro rete, che dovrebbe rendere l’autenticazione LDAP su SSL/TLS più sicuro, installare la patch per la vulnerabilità CVE-2017-8563 su tutti i controller di dominio se gli aggiornamenti automatici non sono abilitati, e abilitare l’opzione “Richiedono la Firma LDAP” nelle impostazioni dell’oggetto.
Vedi anche: Microsoft rilascia la patch di emergenza per il ‘pazzo cattivo” di Windows zero-day bug
Come parte di Microsoft mensile Patch Tuesday di rilascio, il gigante di Redmond patch 54 vulnerabilità in Windows, Edge, Internet Explorer, Office ed Exchange. In totale, 19 bug sono stati ritenuti critici.
Più notizie di sicurezza
Questo Android ransomware minaccia di esporre la cronologia di navigazione per tutti i tuoi contatti
Trump effettua giù da ‘impenetrabile cyber unità” con la Russia
Gli hacker stanno utilizzando questo nuovo metodo di attacco per obiettivo le aziende di potenza
Il giudice dice che Twitter è causa legale contro la sicurezza nazionale lettere può andare avanti
0