Kwetsbaarheden ontdekt in Windows security protocollen

0
181

0

screen-shot-2017-07-12-at-10-13-23.jpg
Preempt

Twee kwetsbaarheden blootgelegd in de Microsoft-Windows-security-protocollen die kunnen leiden tot het kraken van wachtwoorden en het domein compromis, hebben onderzoekers gewaarschuwd.

Deze week, de Plaats van security team zei de bugs werden ontdekt in de Microsoft Windows NT LAN Manager (NTLM) beveiliging, protocollen, security-software suite die vervangen de oudere Windows-LAN Manager (LANMAN) platform.

Volgens Preempt, de kwetsbaarheden die betrekking hebben op verschillende protocollen hanteren NTLM verkeerd.

“Deze problemen zijn met name groot als ze kunnen door een aanvaller worden gebruikt voor het maken van nieuwe domein administrator-accounts, zelfs als best-practice-besturingselementen, zoals het ondertekenen van LDAP-server en RDP beperkt admin-modus worden ingeschakeld, wordt” het bedrijf zegt.

De eerste kwetsbaarheid CVE-2017-8563, heeft betrekking op een onbeveiligde Lightweight Directory Access Protocol (LDAP) van een NTLM-relais.

LDAP is bedoeld om te beschermen tegen Man-in-the-Middle (MitM) aanvallen en het doorsturen van referenties, maar het lek betekent dat dit niet altijd beschermen tegen het doorsturen van referenties.

Als Windows-protocollen gebruiken de Windows-API (SSPI) — waarmee de downgrade van een authenticatie sessie niet en NTLM-elke sessie kan in gevaar komen als verbonden met een geïnfecteerde computer.

Als een gecompromitteerd systeem heeft een domain admin, dan kan een aanvaller een administrator-account maken en geeft hen controle over een aangevallen netwerk.

Het tweede probleem, dat is niet CVE toegewezen, heeft betrekking op de RDP-Beperkt-Admin-Modus. Preempt zegt dat gebruikers in staat zijn om te verbinden met een machine op afstand zonder vrijwilligerswerk hun wachtwoord voor de machine op afstand die kan worden aangetast.

“DP-Beperkt-Admin Modus kunnen gebruikers verbinding maken met een externe computer zonder vrijwilligerswerk hun wachtwoord voor de machine op afstand die kan worden aangetast, de” het team zegt. “Als een resultaat, elke aanval uitgevoerd met NTLM, zoals referenties doorgeven en het kraken van wachtwoorden, kan worden uitgevoerd tegen de RDP-Beperkt-Admin.

“Elke keer dat een admin verbindt met protocollen zoals RDP-Beperkt-Admin, HTTP of File Share (SMB), een aanvaller zou kunnen maken van een rogue-domein admin, het aantonen van de betekenis van deze bevindingen in het NTLM-protocol, de” het team toegevoegd.

In plaats van de gerapporteerde bugs voor Microsoft op 2 April. Binnen vier dagen Microsoft erkend is in het eerste verslag, en na nog eens drie dagen, zijn beide problemen werden erkend.

Voor CVE-2017-8563, is een correctie uitgebracht als onderdeel van juli ‘ s Patch dinsdag, en voor de tweede editie, Microsoft zei dat het een “probleem” dat vereist netwerk configuratie te voorkomen dat schadelijke NTLM-relais.

Volgens Preempt, met NTLM op alle is zeer riskant, maar als bedrijven moeten gebruik maken van het protocol op het netwerk, ze moeten maken LDAP-verificatie LDAP over SSL/TLS meer veilig, het installeren van de patch voor CVE-2017-8563 op alle domeincontrollers als automatische updates niet zijn ingeschakeld, en om ‘Vereisen LDAP-Ondertekening” in GPO-instellingen.

Zie ook: Microsoft brengt nood patch voor ‘ontzettend slecht’ Windows zero-day bug

Als onderdeel van microsofts maandelijkse Patch Tuesday release, de Redmond gigantische patch 54 kwetsbaarheden in Windows, Edge, Internet Explorer, Office en Exchange. In totaal zijn 19 bugs werden geacht kritisch.

Meer nieuws over beveiliging

Deze Android ransomware dreigt te bloot in uw browsegeschiedenis voor al je contacten

Trump back down van ‘ondoordringbare cyber-eenheid’ met Rusland

Hackers gebruik van deze nieuwe aanval methode om de target power bedrijven

Rechter zegt op Twitter rechtszaak over de national security letters kan vooruit

0