PhamTheThao
W-------
-
19/09/2014
-
6
-
20 bài viết
LDAP & RDP Relay Trong Windows NTLM Security Protocol (CVE-2017-8563)
Hai lỗ hổng bảo mật nghiêm trọng tồn tại trong giao thức bảo mật Microsoft NT LAN Manager (NTLM) của Windows, NTLM là giao thức cũ trên hệ điều hành Windows mặc dù Microsoft đã ban hành Kerberos để thay thế từ phiên bản Windows 2000 tuy nhiên NTLM vẫn được hỗ trợ trong các phiên bản Windows mới sau này. Các chuyên gia bảo mật của Preempt đã phát hiện 2 lỗ hổng zero-day nguy hiểm trên giao thức này cho phép kẻ tấn công có thể tạo một tài khoản domain admin mới và chiếm quyền máy chủ thông qua tài khoản mới này.
Lỗ hổng thứ nhất với tên gọi “LDAP Relay” có mã định danh là: CVE-2017-8563
Trong máy chủ Active Directory dịch vụ LDAP được thiết lập chính sách “Domain Controller: LDAP server signing requirements” là “Require Signing” trong Group Policy Object (GPO) của máy chủ. Việc thiết lập chính sách như trên cho phép LDAP được bảo vệ trước các tấn công Man-in-the-Middle (MitM) tuy nhiên lại không an toàn trước tấn công chuyển tiếp credential. Điều này cho phép kẻ tấn công lợi dụng các phiên NTLM đến để thực hiện việc cập nhật LDAP domain objects (users, groups, endpoints …) trên phiên NTLM. Khi thác điểm yếu này mỗi kết nối mạng (SMB, WMI, SQL, HTTP) đến máy tính bị ảnh hưởng bởi điểm yếu với tài khoản admin domain cho phép kẻ tấn công tạo một tài khoản admin domain mới.
Lỗ hổng thứ hai với tên gọi “RDP Relay”
Lỗ hổng tồn tại khi thực hiện remote đến máy tính windows qua chế độ “Restricted Admin”.
#mstsc /restrictedAdmin
“Restricted Admin” cho phép quản trị viên remote đến máy chủ mà không cần gửi mật khẩu giống như Kerberosed RDP. Các chuyên gia bảo mật của Preempt phát hiện việc remote qua “Restricted Admin” có thể chuyển xuống xác thực NTLM, điều này cho phép kẻ tấn công thực hiện các tấn công như chuyển tiếp credential...
Vì việc remote đến các máy chủ qua chế độ “Restricted Admin” thường sử dụng tài khoản quản trị kết hợp với lỗ hổng LDAP Relay được trình bày phía trên mỗi phiên quản trị viên remote đến máy chủ qua chế độ “Restricted Admin” cho phép kẻ tấn công tạo một tài khoản admin domain.
Khuyến nghị khắc phục:
- Cần rà soát lại hệ thống máy chủ để lên dánh sách các ứng dụng bị ảnh hưởng bởi điểm yếu này.
- Thực hiện cập nhật bản vá mới nhất từ Microsoft để vá cho các máy chủ của cơ quan tại địa chỉ sau: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8563
Theo: THN