Là một phần của Bản vá Thứ ba của tháng này, Microsoft đã phát hành các bản vá bảo mật cho lỗ hổng leo thang đặc quyền nghiêm trọng ảnh hưởng đến tất cả các phiên bản hệ điều hành Windows dành cho doanh nghiệp được phát hành từ năm 2007.
Các nhà nghiên cứu tại chuyên gia tường lửa hành vi Preempt đã phát hiện ra hai lỗ hổng zero-day trong giao thức bảo mật Windows NTLM, cả hai đều cho phép kẻ tấn công tạo tài khoản quản trị viên miền mới và giành quyền kiểm soát toàn bộ miền.
NT LAN Manager (NTLM) là một giao thức xác thực cũ được sử dụng trên các mạng bao gồm các hệ thống chạy hệ điều hành Windows và các hệ thống độc lập.
Mặc dù NTLM đã được thay thế bởi Kerberos trong Windows 2000 để tăng cường bảo mật hơn cho các hệ thống trên mạng, nhưng NTLM vẫn được Microsoft hỗ trợ và tiếp tục được sử dụng rộng rãi.
Lỗ hổng đầu tiên liên quan đến Giao thức Truy cập Thư mục Hạng nhẹ (LDAP) không được bảo vệ khỏi chuyển tiếp NTLM và lỗ hổng thứ hai liên quan đến chế độ Quản trị viên Hạn chế Giao thức Máy tính Từ xa (RDP).
LDAP không thể bảo vệ đầy đủ trước các cuộc tấn công chuyển tiếp NTLM, ngay cả khi nó có LDAP ký kết biện pháp phòng thủ tích hợp, biện pháp này chỉ bảo vệ khỏi các cuộc tấn công trung gian (MitM) và hoàn toàn không bảo vệ khỏi chuyển tiếp thông tin xác thực.
Lỗ hổng bảo mật có thể cho phép kẻ tấn công có đặc quyền HỆ THỐNG trên hệ thống đích sử dụng các phiên NTLM đến và thực hiện các hoạt động LDAP, như cập nhật các đối tượng miền, thay mặt cho người dùng NTLM.
“Để nhận ra mức độ nghiêm trọng của vấn đề này, chúng tôi cần nhận ra rằng tất cả các giao thức Windows đều sử dụng Windows Authentication API (SSPI) cho phép hạ cấp phiên xác thực xuống NTLM,” Yaron Zinar từ Preempt cho biết trong một bài đăng trên blog, nêu chi tiết về lỗ hổng.
“Kết quả là, mọi kết nối với máy bị nhiễm (SMB, WMI, SQL, HTTP) với quản trị viên miền sẽ dẫn đến việc kẻ tấn công tạo tài khoản quản trị viên miền và có toàn quyền kiểm soát mạng bị tấn công.”
Video Trình Diễn Tấn Công Tiếp Sức
Các nhà nghiên cứu ưu tiên cũng cung cấp một video để chứng minh các cuộc tấn công chuyển tiếp thông tin xác thực.
Lỗ hổng NTLM thứ hai ảnh hưởng đến chế độ Quản trị viên bị hạn chế giao thức máy tính từ xa – chế độ Quản trị viên bị hạn chế RDP này cho phép người dùng kết nối với một máy tính từ xa mà không cần cung cấp mật khẩu của họ.
Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh
Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Theo các nhà nghiên cứu của Preempt, RDP Restricted-Admin cho phép các hệ thống xác thực hạ cấp xuống NTLM. Điều này có nghĩa là các cuộc tấn công được thực hiện bằng NTLM, chẳng hạn như chuyển tiếp thông tin xác thực và bẻ khóa mật khẩu, cũng có thể được thực hiện đối với Quản trị viên bị hạn chế RDP.
Khi được kết hợp với lỗ hổng chuyển tiếp LDAP, kẻ tấn công có thể tạo tài khoản quản trị viên miền giả mạo bất cứ khi nào quản trị viên kết nối với Quản trị viên bị hạn chế RDP và giành quyền kiểm soát toàn bộ miền.
Các nhà nghiên cứu đã phát hiện và báo cáo riêng các lỗ hổng LDAP và RDP Relay trong NTLM cho Microsoft vào tháng Tư.
Tuy nhiên, Microsoft đã thừa nhận lỗ hổng NTLM LDAP vào tháng 5, gán nó là CVE-2017-8563, nhưng loại bỏ lỗi RDP, cho rằng đây là “sự cố đã biết” và khuyến nghị định cấu hình mạng để an toàn trước bất kỳ chuyển tiếp NTLM nào.
“Trong kịch bản tấn công từ xa, kẻ tấn công có thể khai thác lỗ hổng này bằng cách chạy một ứng dụng được chế tạo đặc biệt để gửi lưu lượng độc hại đến bộ điều khiển miền. Kẻ tấn công khai thác thành công lỗ hổng này có thể chạy các quy trình trong ngữ cảnh nâng cao”, Microsoft giải thích trong lời khuyên của mình.
“Bản cập nhật giải quyết lỗ hổng này bằng cách kết hợp các cải tiến cho các giao thức xác thực được thiết kế để giảm thiểu các cuộc tấn công xác thực. Nó xoay quanh khái niệm thông tin ràng buộc kênh.”
Vì vậy, các quản trị viên hệ thống nên vá các máy chủ dễ bị tổn thương của họ bằng NT LAN Manager được bật càng sớm càng tốt.
Bạn có thể cân nhắc tắt NT LAN Manager hoặc yêu cầu các gói LDAP và SMB đến được ký điện tử để ngăn chặn các cuộc tấn công chuyển tiếp thông tin xác thực.
Bên cạnh lỗ hổng chuyển tiếp NTLM này, Microsoft đã phát hành các bản vá cho 55 lỗ hổng bảo mật, bao gồm 19 lỗ hổng nghiêm trọng, trong một số sản phẩm của hãng, bao gồm Edge, Internet Explorer, Windows, Office và Office Services và Ứng dụng web, .NET Framework và Exchange Server.
Người dùng Windows được khuyên nên cài đặt các bản cập nhật mới nhất càng sớm càng tốt để tự bảo vệ mình trước các cuộc tấn công đang hoạt động ngoài thực tế.
