Исследователь Ярон Зинер обнаружил две уязвимости в протоколе управления Windows NT LAN Manager (NTLM), одна из которых была исправлена производителем в июльском наборе исправлений, а другая - нет. Уязвимость, которая получила наименование CVE-2017-8563, позволяет постороннему обмануть систему аутентификации и завести в домене NTLM эккаунт администратора. Это позволяет захватить контроль над доменом корпоративной сеть, где данная технология используется. Вторая, не исправленная уязвимость, позволяет в режиме RDP Restricted-Admin получить контроль над любым компьютером с поддержкой NTLM не вводя пароля - с помощью хеша, который может быть украден или перехвачен. Обе уязвимости совместно позволяют злоумышленнику захватить полный контроль над корпоративной сетью предприятия, где развернута NTLM.
Ярон Зинер обнаружил уязвимости в апреле и сообщил о них в Microsoft, но только в июле одна из них была исправлена. Казалось при чем здесь TheShadowBrokers? А дело в том, что аналогичный сценарий уже был - в январе этого года только после публикации TheShadowBrokers, была исправлена уязвимость в SMB, которая сейчас используется в составе EternalBlue. Как мы уже писали в июле планировалась рассылка информации по закрытому «клубу любителей TheShadowBrokers». Возможно, данная рассылка состоялась и там был инструмент, эксплуатирующий уязвимость в NTLM. В результате, в Microsoft поняли, что нужно исправлять свои ошибки иначе будет поздно.
Первоисточник: https://www.darkreading.com/vulnerabilities---threats/microsoft-patches-critical-zero-day-flaw-in-windows-security-protocol/d/d-id/1329332
Комментариев нет:
Отправить комментарий