Уязвимости в NTLM могут привести к полной компрометации домена
Две уязвимости в протоколе сетевой аутентификации NTLM от компании Microsoft позволяют обойти защиту с помощью имитовставки, откатить функции безопасности NTLM до более ранних версий и полностью скомпрометировать домен. Microsoft исправила проблемы и выпустила соответствующие уведомления в рамках «вторника исправлений» 8 октября.
Windows NT (New Technology) LAN Manager (NTLM) является протоколом проверки подлинности запроса и ответа клиента/сервера и используется для аутентификации удаленных пользователей и обеспечения безопасности сеансов. Его преемником стал протокол сетевой аутентификации Kerberos, использующийся по умолчанию для всех версий Windows после Windows 2000. Хотя Kerberos используется чаще, во многих компаниях по-прежнему включен NTLM.
Исследователи компании Preempt Ярон Зинар (Yaron Zinar) и Марина Симакова обнаружили , что вышеупомянутые уязвимости можно проэксплуатировать для релейной атаки, которая в некоторых случаях может привести к полной компрометации сети и всех пользователей Active Directory с заводскими настройками.
Уязвимость CVE-2019-1166 затрагивает все версии Windows и все серверы, для которых наличие цифровой подписи необязательно. Уязвимость CVE-2019-1338 затрагивает Windows 7 SP1, Windows 2008 и Windows 2008 R2.
Релейная атака – техника взлома, схожая с атакой «человек посередине» и атакой повторного воспроизведения. В классической атаке «человек посередине» атакующий перехватывает и манипулирует трафиком, передаваемым от одной стороны к другой. В классической релейной атаке передача трафика с обеих сторон инициируется самим атакующим, который затем просто повторно воспроизводит сообщения между двумя сторонами, не манипулируя и даже не читая их.