Брешь в Windows позволяет получить доступ к сети после удаления или отключения учетной записи

Как сообщает компания Aorato, которая продает решения по обеспечению безопасности корпоративных сетей, архитектура Active Directory в Windows подвержена уязвимости, позволяющей злоумышленнику заполучить доступ к корпоративным данным в течение 10 часов (максимальное время жизни билета пользователя) после удаления или отключенных учетной записи.

Отключенные учетные записи представляют риск для компаний и дают преимущества потенциальным хакерам, которые охотятся за корпоративными секретами. Проблема доступности ресурсов в течение 10 часов после удаления или отключения учетной записи вызвана использованием протокола Kerberos для аутентификации, который полагается исключительно на билеты.

Поскольку сверка данных валидности билета не осуществляется, удаленный или отключенный пользователь может использовать свой билет Kerberos для обращения к сетевым ресурсам. Таким образом, на практике не представляется возможным осуществить одно из требований стандарта PCI DSS о немедленном отзыве привилегий на доступ к ресурсам для удаленных учетных записей.

Более того, отследить неправомерный доступ к ресурсам для удаленной учетной записи через журналы событий и различные SIEM решения проблемно, поскольку Windows отдельно не выделяет события использования билетов Kerberos.