D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Две уязвимости Microsoft, CVE-2019-1040 и CVE-2019-1019 , позволят злоумышленникам удаленно выполнять вредоносный код на любом компьютере Windows или проходить проверку подлинности на любом веб-сервере, поддерживающем встроенную проверку подлинности Windows (WIA), например Exchange или ADFS.
По словам исследователей из Preempt, которые обнаружили недостатки, два CVE состоят из трех логических недостатков в NTLM, проприетарном протоколе аутентификации компании. Успешный эксплойт позволит злоумышленнику читать электронные письма всех пользователей; аутентифицироваться на любом облачном ресурсе, который контролируется ADFS; удаленно выполнять код на любой машине, на которой у жертвы есть привилегии; и изменять различные конфигурации сети для создания бэкдоров.
«NTLM подвержен ретрансляционным атакам, что позволяет субъектам захватывать аутентификацию и ретранслировать ее на другой сервер, предоставляя им возможность выполнять операции на удаленном сервере с использованием привилегий аутентифицированного пользователя», - объяснили они в отчете, опубликованном во вторник, и поделился с Threatpost перед публикацией. «Ретрансляция NTLM является одним из наиболее распространенных методов атаки, используемых в средах Active Directory, где злоумышленник скомпрометирует одну машину, а затем переместится в боковом направлении на другие машины с помощью аутентификации NTLM, направленной на скомпрометированный сервер».
В то время как Microsoft ранее разработала несколько мер для предотвращения атак ретрансляции NTLM, исследователи Preempt обнаружили ошибки в этих мерах, которые могут быть использованы злоумышленниками.
Все версии Windows уязвимы, а поверхность атаки огромна.
«Вероятно, все сети имеют Active Directory, и это подавляющее большинство сетей в мире», - сказал исследователь Preempt Ярон Зинер. «У нас нет официальной статистики, но это определенно более 90 процентов сетей. Наиболее примечательным фактом, по нашему мнению, является тот факт, что нам удалось нарушить все меры по снижению уровня NTLM, и любое использование NTLM может привести к компрометации сети ».
Несмотря на то, что ретрансляция NTLM является старой техникой атаки, предприятия не могут полностью исключить использование протокола, так как это сломает многие приложения, считают исследователи Preempt. Тем не менее, Microsoft выпустила исправления для этих двух ошибок в рамках своего обновления «Обновление вторника за июнь». Полная защита, однако, также потребует изменений конфигурации.
«Патча, который выпустит Microsoft, будет недостаточно, чтобы остановить описанные атаки», - сказал Зинер. «Безопасная конфигурация необходима для полной защиты, а использование старых версий протоколов все еще можно использовать. Вам необходимо внимательно следить за трафиком и анализировать конфигурацию сети, чтобы обеспечить 100-процентную защиту.
CVE-2019-1040 имеет базовый балл CVSS v3.0 5,3, что делает его ошибкой средней серьезности; другой, CVE-2019-1019, имеет базовый балл 8,5, оценивая его как высокий уровень серьезности. Microsoft считает, что оба «важны». Исследователи из Preempt сказали, что, однако, они считают, что ошибки являются критическими.
«Мы не знаем, всегда знаем, как Microsoft оценит уязвимость», - сказал Зинер. «Microsoft может преуменьшать влияние этих проблем, но, как эксперты в области сетевой безопасности и NTLM, мы считаем, что они имеют решающее значение. Мы придерживаемся нашей оценки [что ошибки являются критическими] и не можем думать ни о какой сети в мире, которая не будет скомпрометирована с использованием этих уязвимостей ».
Недостатки
В основе уязвимостей лежат три логических недостатка.
Первое связано с полем «Код целостности сообщения» (MIC), которое гарантирует, что злоумышленники не изменят сообщения NTLM. По выгрузить в записи вверх на изъян, байпас позволяет злоумышленникам снять защиту в «ВПК» и изменять различные поля в потоке аутентификации NTLM, например, подписание переговоров.
Второй недостаток заключается в подписи сеансов SMB, которая не позволяет злоумышленникам передавать сообщения аутентификации NTLM для установления сеансов SMB и DCE / RPC. Этот обход, согласно анализу , позволяет злоумышленникам передавать запросы проверки подлинности NTLM на любой сервер в домене, включая контроллеры домена, при создании подписанного сеанса для выполнения удаленного выполнения кода. Если ретранслируемая аутентификация имеет привилегированного пользователя, это означает полный компромисс домена.
И наконец, Enhanced Protection for Authentication (EPA) не позволяет злоумышленникам пересылать сообщения NTLM на сеансы TLS. Обход здесь, как описано , позволяет злоумышленникам изменять сообщения NTLM для генерирования достоверной информации о привязке канала. Это позволяет злоумышленникам подключаться к различным веб-серверам с использованием привилегий атакованного пользователя и выполнять такие операции, как чтение электронных писем пользователя (путем передачи на серверы OWA) или даже подключение к облачным ресурсам (путем передачи на серверы ADFS).
С точки зрения того, как злоумышленник будет использовать эксплойт для ошибок в реальной жизни, Зинер сказал Threatpost, что «пользователь подключается к скомпрометированному серверу (во многих случаях это может быть вызвано злоумышленником, например, фишинговым письмом) , учетные данные будут украдены злоумышленником со 100-процентной вероятностью ».
Для успешного использования «злоумышленнику в основном потребуется какой-то способ перехвата сеансов NTLM (есть несколько известных методов для достижения этой цели)», добавил он. «Эксплуатация трудна в том смысле, что ее может кодировать только эксперт по технологиям. Однако, как только будут доступны эксплойты с открытым исходным кодом, их будет очень легко использовать ».
По словам исследователей, после внесения исправлений сетевые администраторы должны внести рекомендуемые изменения конфигурации: они включают включение подписи SMB на всех машинах в сети; полная блокировка устаревшей версии протокола NTLMv1; обеспечение подписывания LDAP и привязки канала LDAPS на контроллерах домена; усиление защиты всех веб-серверов (OWA, ADFS) для приема только запросов с EPA; и удаление NTLM там, где это не нужно.
Эта история была обновлена в 15:27 11 июня, чтобы отразить пересмотренные рейтинги серьезности, после того как Microsoft выпустила свои исправления. И обновленный в 9:00 12 июня, чтобы включать комментарий от Preempt о том, почему фирма считает ошибки "критическими".
Рекомендации
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1019
https://threatpost.com/newsletter-sign/
https://blog.preempt.com/drop-the-mic
https://blog.preempt.com/your-session-key-is-my-session-key
https://blog.preempt.com/how-to-easily-bypass-epa
https://attendee.gotowebinar.com/register/611039692762707715?source=enews
Первоисточник
Github
По словам исследователей из Preempt, которые обнаружили недостатки, два CVE состоят из трех логических недостатков в NTLM, проприетарном протоколе аутентификации компании. Успешный эксплойт позволит злоумышленнику читать электронные письма всех пользователей; аутентифицироваться на любом облачном ресурсе, который контролируется ADFS; удаленно выполнять код на любой машине, на которой у жертвы есть привилегии; и изменять различные конфигурации сети для создания бэкдоров.
«NTLM подвержен ретрансляционным атакам, что позволяет субъектам захватывать аутентификацию и ретранслировать ее на другой сервер, предоставляя им возможность выполнять операции на удаленном сервере с использованием привилегий аутентифицированного пользователя», - объяснили они в отчете, опубликованном во вторник, и поделился с Threatpost перед публикацией. «Ретрансляция NTLM является одним из наиболее распространенных методов атаки, используемых в средах Active Directory, где злоумышленник скомпрометирует одну машину, а затем переместится в боковом направлении на другие машины с помощью аутентификации NTLM, направленной на скомпрометированный сервер».
В то время как Microsoft ранее разработала несколько мер для предотвращения атак ретрансляции NTLM, исследователи Preempt обнаружили ошибки в этих мерах, которые могут быть использованы злоумышленниками.
Все версии Windows уязвимы, а поверхность атаки огромна.
«Вероятно, все сети имеют Active Directory, и это подавляющее большинство сетей в мире», - сказал исследователь Preempt Ярон Зинер. «У нас нет официальной статистики, но это определенно более 90 процентов сетей. Наиболее примечательным фактом, по нашему мнению, является тот факт, что нам удалось нарушить все меры по снижению уровня NTLM, и любое использование NTLM может привести к компрометации сети ».
Несмотря на то, что ретрансляция NTLM является старой техникой атаки, предприятия не могут полностью исключить использование протокола, так как это сломает многие приложения, считают исследователи Preempt. Тем не менее, Microsoft выпустила исправления для этих двух ошибок в рамках своего обновления «Обновление вторника за июнь». Полная защита, однако, также потребует изменений конфигурации.
«Патча, который выпустит Microsoft, будет недостаточно, чтобы остановить описанные атаки», - сказал Зинер. «Безопасная конфигурация необходима для полной защиты, а использование старых версий протоколов все еще можно использовать. Вам необходимо внимательно следить за трафиком и анализировать конфигурацию сети, чтобы обеспечить 100-процентную защиту.
CVE-2019-1040 имеет базовый балл CVSS v3.0 5,3, что делает его ошибкой средней серьезности; другой, CVE-2019-1019, имеет базовый балл 8,5, оценивая его как высокий уровень серьезности. Microsoft считает, что оба «важны». Исследователи из Preempt сказали, что, однако, они считают, что ошибки являются критическими.
«Мы не знаем, всегда знаем, как Microsoft оценит уязвимость», - сказал Зинер. «Microsoft может преуменьшать влияние этих проблем, но, как эксперты в области сетевой безопасности и NTLM, мы считаем, что они имеют решающее значение. Мы придерживаемся нашей оценки [что ошибки являются критическими] и не можем думать ни о какой сети в мире, которая не будет скомпрометирована с использованием этих уязвимостей ».
Недостатки
В основе уязвимостей лежат три логических недостатка.
Первое связано с полем «Код целостности сообщения» (MIC), которое гарантирует, что злоумышленники не изменят сообщения NTLM. По выгрузить в записи вверх на изъян, байпас позволяет злоумышленникам снять защиту в «ВПК» и изменять различные поля в потоке аутентификации NTLM, например, подписание переговоров.
Второй недостаток заключается в подписи сеансов SMB, которая не позволяет злоумышленникам передавать сообщения аутентификации NTLM для установления сеансов SMB и DCE / RPC. Этот обход, согласно анализу , позволяет злоумышленникам передавать запросы проверки подлинности NTLM на любой сервер в домене, включая контроллеры домена, при создании подписанного сеанса для выполнения удаленного выполнения кода. Если ретранслируемая аутентификация имеет привилегированного пользователя, это означает полный компромисс домена.
И наконец, Enhanced Protection for Authentication (EPA) не позволяет злоумышленникам пересылать сообщения NTLM на сеансы TLS. Обход здесь, как описано , позволяет злоумышленникам изменять сообщения NTLM для генерирования достоверной информации о привязке канала. Это позволяет злоумышленникам подключаться к различным веб-серверам с использованием привилегий атакованного пользователя и выполнять такие операции, как чтение электронных писем пользователя (путем передачи на серверы OWA) или даже подключение к облачным ресурсам (путем передачи на серверы ADFS).
С точки зрения того, как злоумышленник будет использовать эксплойт для ошибок в реальной жизни, Зинер сказал Threatpost, что «пользователь подключается к скомпрометированному серверу (во многих случаях это может быть вызвано злоумышленником, например, фишинговым письмом) , учетные данные будут украдены злоумышленником со 100-процентной вероятностью ».
Для успешного использования «злоумышленнику в основном потребуется какой-то способ перехвата сеансов NTLM (есть несколько известных методов для достижения этой цели)», добавил он. «Эксплуатация трудна в том смысле, что ее может кодировать только эксперт по технологиям. Однако, как только будут доступны эксплойты с открытым исходным кодом, их будет очень легко использовать ».
По словам исследователей, после внесения исправлений сетевые администраторы должны внести рекомендуемые изменения конфигурации: они включают включение подписи SMB на всех машинах в сети; полная блокировка устаревшей версии протокола NTLMv1; обеспечение подписывания LDAP и привязки канала LDAPS на контроллерах домена; усиление защиты всех веб-серверов (OWA, ADFS) для приема только запросов с EPA; и удаление NTLM там, где это не нужно.
Эта история была обновлена в 15:27 11 июня, чтобы отразить пересмотренные рейтинги серьезности, после того как Microsoft выпустила свои исправления. И обновленный в 9:00 12 июня, чтобы включать комментарий от Preempt о том, почему фирма считает ошибки "критическими".
Рекомендации
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1019
https://threatpost.com/newsletter-sign/
https://blog.preempt.com/drop-the-mic
https://blog.preempt.com/your-session-key-is-my-session-key
https://blog.preempt.com/how-to-easily-bypass-epa
https://attendee.gotowebinar.com/register/611039692762707715?source=enews
Первоисточник
Github