Бесплатно Экспресс-аудит сайта:

26.01.2021

Эксперты рассказали о RCE-уязвимости в Windows NT LAN Manager

Исследователи безопасности рассказали об уязвимости обхода функции безопасности в Windows NT LAN Manager (NTLM). Уязвимость ( CVE-2021-1678 ) была обнаружена в компоненте сетевого стека и может быть проэксплуатирована удаленно. По словам исследователей из Crowdstrike, злоумышленник может использовать проблему для удаленного выполнения кода через реле NTLM.

«Уязвимость позволяет злоумышленнику ретранслировать сеансы аутентификации NTLM на определенный компьютер и использовать интерфейс MSRPC диспетчера очереди печати принтера для удаленного выполнения кода», — пояснили эксперты.

Атаки с ретрансляцией NTLM представляют собой своего рода MitM-атаки, которые обычно позволяют злоумышленникам с доступом к сети перехватывать легитимный трафик аутентификации между клиентом и сервером и ретранслировать эти подтвержденные запросы аутентификации для доступа к сетевым службам.

Успешная эксплуатация уязвимости также позволяет злоумышленнику удаленно запускать код на компьютере под управлением Windows или перемещаться по сети в критически важные системы, такие как серверы с контроллерами домена, путем повторного использования учетных данных NTLM.

В частности, исследователи обнаружили, что IRemoteWinspool (RPC-интерфейс для удаленного управления диспетчером очереди печати) можно использовать для выполнения ряда RPC-операций и записи произвольных файлов на компьютере с использованием перехваченного сеанса NTLM.

Специалисты Microsoft сообщили, что устранили уязвимость путем «увеличения уровня аутентификации RPC и введения новой политики и раздела реестра, позволяющих клиентам отключать или включать режим принудительного применения на стороне сервера для повышения уровня аутентификации».