Como parte do Patch Tuesday deste mês, a Microsoft lançou patches de segurança para uma vulnerabilidade grave de escalonamento de privilégios que afeta todas as versões do seu sistema operacional Windows Enterprise lançadas a partir 2007.
Pesquisadores do especialistas em Behaviour Firewall Preempt descobriram duas vulnerabilidades Zero Day nos protocolos de segurança do Windows NTLM, que permitem que os atacantes criem uma nova conta de administrador de domínio e obtenham o controle de todo o domínio.
NT LAN Manager (NTLM) é um antigo protocolo de autenticação usado em redes que incluem sistemas que executam o sistema operacional Windows e sistemas autônomos.
Embora a NTLM tenha sido substituída por Kerberos no Windows 2000, que adiciona maior segurança aos sistemas em uma rede, a NTLM ainda é suportada pela Microsoft e continua a ser amplamente utilizada.
A primeira vulnerabilidade envolve o protocolo LDAP (Lightweight Directory Access Protocol) desprotegido no NTLM relay e o segundo impacta o Remote Desktop Protocol (RDP) no modo restrito de administrador.
O LDAP não protege adequadamente contra os ataques de retransmissão NTLM, mesmo quando possui assinatura LDAP embutida na medida defensiva, que só protege dos ataques do Man-in-the-Midle (MitM) e não do encaminhamento da credencial.
A vulnerabilidade pode permitir que um invasor com privilégios de sistema em um sistema de destino use sessões NTLM recebidas e execute as operações LDAP, como atualizar objetos de domínio, em nome do usuário NTLM.
“Para perceber o quão grave é este problema, precisamos perceber que todos os protocolos do Windows usam a API de Autenticação do Windows (SSPI), que permite o downgrade de uma sessão de autenticação para a NTLM“, disse Yaron Zinar da Preempt em uma publicação no blog, detalhando a vulnerabilidade.
“Como resultado, cada conexão a uma máquina infectada (SMB, WMI, SQL, HTTP) com um administrador de domínio resultaria no invasor criando uma conta de administrador de domínio e recebendo controle total sobre a rede atacada“.
Vídeo publicado pelo The Hacker News
A segunda vulnerabilidade NTLM afeta o modo Remote Desktop Protocol Restricted-Admin – este modo RDP Restricted-Admin permite que os usuários se conectem a um computador remoto sem dar sua senha.
De acordo com pesquisadores da Preempt, o RDP Restricted-Admin permite que os sistemas de autenticação baixem para o NTLM. Isso significa que os ataques realizados com o NTLM, como a retransmissão de credenciais e o cracking de senhas, também podem ser realizados contra RDP Restricted-Admin.
Quando combinado com a vulnerabilidade do retransmissão LDAP, um invasor pode criar uma conta de administrador de domínio falso sempre que um administrador se conecta com RDP Restricted-Admin e obter controle de todo o domínio.
Os pesquisadores descobriram e relataram em particular as vulnerabilidades LDAP e RDP Relay na NTLM para a Microsoft em abril.
No entanto, a Microsoft reconheceu a vulnerabilidade NTLM LDAP em maio, atribuindo-lhe CVE-2017-8563 , mas descartou o erro RDP, alegando que é um “problema conhecido” e recomendando configurar uma rede para estar a salvo de qualquer relé NTLM.
“Em um cenário de ataque remoto, um invasor poderia explorar essa vulnerabilidade executando um aplicativo especialmente criado para enviar tráfego mal-intencionado para um controlador de domínio. Um invasor que aproveitou com sucesso esta vulnerabilidade poderia executar processos em um contexto elevado“, explicou a Microsoft em seu conselho.
“A atualização aborda essa vulnerabilidade incorporando aprimoramentos aos protocolos de autenticação projetados para mitigar os ataques de autenticação. Ele gira em torno do conceito de informação de ligação do canal“.
Portanto, os administradores de sistemas recomendam que sejam corrigidos os servidores vulneráveis com NT LAN Manager o mais rápido possível.
Você pode considerar ativar o NT LAN Manager ou exigir que os pacotes LDAP e SMB entrantes sejam assinados digitalmente para evitar ataques de retransmissão de credenciais.
Além desta falha do NTLM, a Microsoft lançou patches para 55 vulnerabilidades de segurança, que incluem 19 críticas, em vários dos seus produtos, incluindo Edge, Internet Explorer, Windows, Office e Office Services e Web Apps, .NET Framework e Exchange Server.
Os usuários do Windows são fortemente recomendados para instalar as atualizações mais recentes o mais rápido possível, a fim de se proteger contra os ataques ativos na natureza.
Deixe sua opnião no campo de comentários!
fonte: The Hacker News by por: MindSec 13/07/2017
Deixe sua opinião!