شناسایی آسیب‌پذیری در پروتکل NTLM ویندوز

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

کارشناسان امنیتی درباره دو آسیب‌‏پذیری zero-day در پروتکل امنیتی NTLM ویندوز هشدار دادند.

محققان امنیتی شرکت Preempt دو آسیب‌‏پذیری zero-day در پروتکل امنیتی NTLM ویندوز کشف کرده‌‏اند. هر دوی این آسیب‏‌پذیری‏‌ها به مهاجم اجازه می‏‌دهند که یک دامنه جدید ایجاد کرده و آن را به‌طور کامل کنترل کند.

NT LAN Manager یک پروتکل احراز هویت قدیمی است که در شبکه‏‌های شامل سیستم‌عامل‏‌های ویندوز و همچنین در سیستم‌‏های مستقل مورد استفاده قرار می‌‏گیرد.

اگرچه NTLM توسط Kerberos در ویندوز 
۲۰۰۰ جایگزین شده‌است که امنیت بیشتری را در سیستم‌های شبکه‌ای فراهم آورد، اما همچنان توسط مایکروسافت پشتیبانی می‌‏شود و کماکان به‌صورت گسترده مورد استفاده قرار می‌‏گیرد.

در NTLM به‌سادگی، هر زمان که یک کاربر می‏‌خواهد به سرور متصل شود، سرور یک challenge را مطرح می‏‌کند و کاربر challenge را با پسورد هش خود رمزگذاری می‏‌کند. مهاجم می‌‏تواند یک نشست هم‌زمان با سروری که می‏‌خواهد به آن حمله کند ایجاد کند و از همانChallenge استفاده کند و همان هش رمزگذاری شده را به منظور ایجاد یک احراز هویت موفق در NTLM ارسال کند. با استفاده از احراز هویت موفقیتآمیز NTLM، مهاجم می‏‌تواند یک نشست Server Message Block(SMB) را باز کرده و سیستم هدف را با نرم‏‌افزارهای مخرب آلوده کند.

اولین آسیب‏‌پذیری، Lightweight Directory Access Protocol(LDAP) حفاظت‌نشده از NTLM را درگیر می‏‌کند و دومی Remote Desktop Protocol (RDP) را تحت‌تأثیر قرار می‏‌دهد.

LDAP به اندازه کافی در مقابل حملات NTLM مقاوم نیست، حتی زمانی که LDAP ساخته شده و معیارهای دفاعی برای آن مشخص شده‌است تنها از حملات Man-in-the-middle(MitM) محافظت می‏‌کند، نه از رد و بدل شدن اعتبارسنجی‌ها.

این آسیب‏‌پذیری به مهاجم با دسترسی SYSTEM بر روی سیستم هدف، اجازه می‏‌دهد که از نشست‏‌های NTLM ورودی استفاده کرده و عملیات LDAP را انجام دهد، مانند به‌روزرسانی object‏های دامنه از طرف کاربر NTLM.

Yaron Zinar از Preempt در رابطه با جزییات آسیبپذیری می‏‌گوید: «به منظور پی بردن به میزان حساسیت موضوع باید تمامی پروتکل‏‌های ویندوز که از API احراز هویت ویندوز (SSPI) استفاده می‌‏کنند و اجازه می‏‌دهند نشست احراز هویت به سمت NTLM سوق یابد را بررسی کرد. درنتیجه هر اتصالی در سیستم‌های مورد استفاده نظیر (SMB, WMI, SQL, HTTP) با کاربری ادمین به مهاجم اجازه دسترسی به تمام قابلیت‌های ویندوز را می‌دهد

دومین آسیبپذیری NTLM پروتکل Remote Desktop Protocol Restricted-Admin mode را تحت تأثیر قرار می‏‌دهد. حالت RDP Restricted-Admin به کاربران این امکان را می‏‌دهد که بدون وارد کردن پسورد از راه دور به یک کامپیوتر متصل شوند.

به گفته‏ محققان Preempt، RDP Restricted-Admin به سیستمهای احراز هویت اجازه می‌‏دهد که به سمت NTLM سوق یابند. این بدان معنی است که حملات صورت گرفته با NTLM، مانند اعتبارسنجی و کرک کردن پسورد، علیه RDP Restricted-Admin نیز می‏‌تواند اجرا شود.

زمانی که با آسیبپذیری LDAP همراه باشد، مهاجم می‌‏تواند هر زمان که یک ادمین با RDP Restricted-Admin متصل میشود یک دامنه‏ جعلی با حساب کاربری ادمین ایجاد کند و کنترل کل دامنه را به دست بگیرد.

محققان در ماه آوریل آسیبپذیری‏‌های LDAP و RDP در NTLM را کشف کرده و به‌صورت مخفیانه به مایکروسافت گزارش کردند. با این حال، مایکروسافت آسیب‏‌پذیری NTLM LDAP را در ماه می اعلام کرد و نام CVE-
۲۰۱۷-۸۵۶۳را به آن اختصاص داد، اما آسیب‌پذیری RDP را رد و ادعا کرد که این یک مسئله شناخته‌شده است و باید جهت مصون ماندن از هرگونه حمله‏ NTLM شبکه را پیکربندی کرد.

مایکروسافت در مشاوره خود توضیح داد: «در سناریوی یک حمله از راه دور، مهاجم میتواند با اجرای یک اپلیکیشن خاص جهت ارسال ترافیک مخرب به Domain Controller این آسیب‏‌پذیری را اکسپلویت کند. مهاجمی که موفق به اکسپلویت کردن این آسیب‌پذیری شد می‏‌تواند فرایندها را در یک بستر بالقوه اجرا کند

این ماه مایکروسافت یک وصله امنیتی برای یک آسیب‏‌پذیری جدی ارتقای دسترسی منتشر کرد که تمامی نسخه‌های ویندوز از 
۲۰۰۷ به بعد را تحت‌تأثیر قرار می‌دهد.