Обнаруженная уязвимость может позволить хакерам захватить серверы Windows

Эксперты считают, что недавно обнаруженная брешь в системе безопасности операционной системы может быть использована злоумышленниками для полного захвата домена Windows.
Обнаруженная уязвимость может позволить хакерам захватить серверы Windows

Обнаруженная уязвимость может позволить хакерам захватить серверы Windows. Фото: Pixabay

Уязвимость, получившая название PetitPotam , вынуждает удалённые серверы Windows, в том числе контроллеры домена, проходить аутентификацию под контролем злоумышленника, тем самым позволяя ему организовать атаку на ретранслятор Windows NT LAN Manager (NTLM), пишет Techradar.

Из сообщения Microsoft:

«PetitPotam - это классическая атака NTLM Relay, и такие атаки были ранее задокументированы Microsoft вместе с многочисленными вариантами смягчения для защиты клиентов»

PetitPotam был обнаружен исследователем кибербезопасности Жилем Лайонелом, который поделился кодом доказательства концепции (PoC) вместе с техническими деталями уязвимости.

В рекомендациях Microsoft говорится, что все пользователи, использующие службы сертификации Active Directory (AD CS) с веб-службой подачи заявок центра сертификации или веб-службой регистрации сертификатов, потенциально уязвимы для PetitPotam.

В Microsoft утверждает, что уязвимость использует преимущества серверов, на которых AD CS не настроен с защитой от NTLM Relay Attacks.

Из сообщения Microsoft:

«Чтобы предотвратить атаки NTLM Relay в сетях с включённым NTLM, администраторы домена должны убедиться, что службы, разрешающие NTLM-аутентификацию, используют расширенную защиту для аутентификации (EPA) или функции подписи, такие как подписывание SMB»

Однако исследователь не считает, что средства защиты Microsoft полностью решают проблему. 

Лайонел утверждает, что PetitPotam злоупотребляет функцией EfsRpcOpenFileRaw API MS-EFSRPC для передачи запросов аутентификации.

И хотя рекомендации Microsoft смягчают атаки NTLM-ретрансляции, он говорит, что они не касаются злоупотребления API MS-EFSRPC, для которого потребуется обновление системы безопасности.

Startpack подготовил раздел, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме

Больше интересного

Актуальное

Amazon удалил 200 миллионов ложных отзывов о товарах
DuckDuckGO берет на себя защиту конфиденциальности почты Apple
База данных пользователей Clubhouse продаётся в Darknet
Ещё…