Công bố lỗ hổng nghiêm trọng trong Microsoft Active Directory

WhiteHat News #ID:1368

WhiteHat Support
04/06/2014
0
110 bài viết
Công bố lỗ hổng nghiêm trọng trong Microsoft Active Directory
Một lỗ hổng trong sản phẩm Active Directory của Microsoft mới được phát hiện có thể cho phép tin tặc thay đổi password của người dùng mà không bị hệ thống phát hiện, báo cáo của hãng bảo mật Aorato công bố. Lỗ hổng này có nguy cơ ảnh hưởng đến hàng triệu người dùng, nhưng Microsoft tuyên bố đây không phải vấn đề mới và đã cung cấp biện pháp hạn chế nguy cơ từ lâu.

Active Directory là dịch vụ có chức năng quản trị người dùng và tài nguyên tập trung trên một hệ thống mạng, do Microsoft phát triển cho mạng máy tính kiểu Windows Domain và được tích hợp trong hệ điều hành Windows Server. Active Directory được các doanh nghiệp trên toàn thế giới sử dụng để quản lý truy cập và xác thực trong hệ thống mạng của mình.

1490893048organization-unit-active-directory.jpg

Lỗ hổng nằm ở chỗ cơ chế xác thực của Active Directory có thể được hạ cấp từ Kerberos xuống một cơ chế kém bảo mật hơn là Windows NT LAN Manager (NTLM). Có nhiều kỹ thuật khá phổ biến để đánh cắp các thông tin xác thực trên cơ chế NTLM, trong đó có kỹ thuật “Pass the Hash” đã được Microsoft cảnh báo nhiều năm nay.

Tất cả các phiên bản mới của Active Directory đều có các lựa chọn để tương thích lùi. Điều này cho phép tin tặc buộc người dùng phải xác thực qua NTLM thay vì dùng cơ chế xác thực Kerberos có tính bảo mật hơn. Với NTLM, tin tặc hoàn toàn có thể thay mật khẩu của người dùng thành một mật khẩu mới mà không cần biết mật khẩu trước đó. Chỉ cần có mật khẩu, tin tặc sẽ toàn quyền kiểm soát tài khoản và tương tác với hệ thống.

Aorato đã thông báo tới Microsoft về vấn đề này, đồng thời cung cấp công cụ khai thác có thể dùng để kích hoạt lỗ hổng. Tuy nhiên trả lời của Microsoft khẳng định “Hạn chế trong tiêu chuẩn dịch vụ xác thực mạng Kerberos (RFC 4120) đã được biết đến một cách rộng rãi. Thông tin về biện pháp khắc phục những hạn chế này có tại tài liệu Ngăn chặn đổi mật khẩu trong Kerberos bằng key bí mật RC4 (Preventing Kerberos change password using RC4 secret keys)”.

Aorato nhấn mạnh kể cả đây là lỗ hổng mang tính thiết kế của hệ thống thì Microsoft vẫn cần khắc phục, đồng thời có biện pháp để quản trị hệ thống hạn chế sử dụng các giao thức xác thực và mã hóa đã lạc hậu. Ngoài ra, hãng cũng khuyến nghị các doanh nghiệp không nên chỉ dựa vào file log của Windows để phát hiện tin tặc hạ cấp cơ chế xác thực của Active Directory và đổi mật khẩu của người dùng mà cần trực tiếp giám sát lưu lượng mạng.

Nguồn: eWeek
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Công bố lỗ hổng nghiêm trọng trong Microsoft Active Directory

Nguy hiểm thật đấy , phải check lại ngay thôi
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên