LDAP & RDP Relay Trong Windows NTLM Security Protocol (CVE-2017-8563)

P

PhamTheThao

W-------
19/09/2014
6
20 bài viết
LDAP & RDP Relay Trong Windows NTLM Security Protocol (CVE-2017-8563)
P
wndows-security-update.png
Mô tả lỗ hổng:
Hai lỗ hổng bảo mật nghiêm trọng tồn tại trong giao thức bảo mật Microsoft NT LAN Manager (NTLM) của Windows, NTLM là giao thức cũ trên hệ điều hành Windows mặc dù Microsoft đã ban hành Kerberos để thay thế từ phiên bản Windows 2000 tuy nhiên NTLM vẫn được hỗ trợ trong các phiên bản Windows mới sau này. Các chuyên gia bảo mật của Preempt đã phát hiện 2 lỗ hổng zero-day nguy hiểm trên giao thức này cho phép kẻ tấn công có thể tạo một tài khoản domain admin mới và chiếm quyền máy chủ thông qua tài khoản mới này.

Lỗ hổng thứ nhất với tên gọi “LDAP Relay” có mã định danh là: CVE-2017-8563
Trong máy chủ Active Directory dịch vụ LDAP được thiết lập chính sách “Domain Controller: LDAP server signing requirements” là “Require Signing” trong Group Policy Object (GPO) của máy chủ. Việc thiết lập chính sách như trên cho phép LDAP được bảo vệ trước các tấn công Man-in-the-Middle (MitM) tuy nhiên lại không an toàn trước tấn công chuyển tiếp credential. Điều này cho phép kẻ tấn công lợi dụng các phiên NTLM đến để thực hiện việc cập nhật LDAP domain objects (users, groups, endpoints …) trên phiên NTLM. Khi thác điểm yếu này mỗi kết nối mạng (SMB, WMI, SQL, HTTP) đến máy tính bị ảnh hưởng bởi điểm yếu với tài khoản admin domain cho phép kẻ tấn công tạo một tài khoản admin domain mới.

Lỗ hổng thứ hai với tên gọi “RDP Relay”
Lỗ hổng tồn tại khi thực hiện remote đến máy tính windows qua chế độ “Restricted Admin”.
#mstsc /restrictedAdmin
“Restricted Admin” cho phép quản trị viên remote đến máy chủ mà không cần gửi mật khẩu giống như Kerberosed RDP. Các chuyên gia bảo mật của Preempt phát hiện việc remote qua “Restricted Admin” có thể chuyển xuống xác thực NTLM, điều này cho phép kẻ tấn công thực hiện các tấn công như chuyển tiếp credential...
Vì việc remote đến các máy chủ qua chế độ “Restricted Admin” thường sử dụng tài khoản quản trị kết hợp với lỗ hổng LDAP Relay được trình bày phía trên mỗi phiên quản trị viên remote đến máy chủ qua chế độ “Restricted Admin” cho phép kẻ tấn công tạo một tài khoản admin domain.

Khuyến nghị khắc phục:
- Cần rà soát lại hệ thống máy chủ để lên dánh sách các ứng dụng bị ảnh hưởng bởi điểm yếu này.
- Thực hiện cập nhật bản vá mới nhất từ Microsoft để vá cho các máy chủ của cơ quan tại địa chỉ sau: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8563

Theo: THN
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: nktung
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Nhờ bạn cài bảo mật hai lớp cho email, bạn cướp luôn tiền trong ví điện tử
  • Thụy Sĩ: Số vụ tấn công mạng tăng gấp 3 trong thời gian dịch COVID-19
  • Dữ liệu điện thoại cho thấy sự trở lại thận trọng của người Mỹ
  • Cổng sao lưu dữ liệu & Smarthome 2in1 với IOT gateway NextDrive
  • Clean & Security VPN và nỗi lo người dùng cảnh giác với ứng dụng Việt
  • Tìm thấy lỗ hổng nghiêm trọng trong 4 plug-in phổ biến của Wordpress
    • Thẻ
    cve-2017-8563 ldap relay ntlm rdp relay windows
    Bên trên