В популярном программном обеспечении Microsoft для управления сетевым доступом была выявлена критически опасная уязвимость, хотя в самой Microsoft говорят, что о проблеме давно знали и исправление уже готово. Израильская компания Aorato на своем сайте приводит данные о концептуальной атаке, которая позволяет сменить пароли пользователей системы Active Directory и потенциально получить доступ к уязвимым системам. Вице-президент Aorato по исследованиям Тал Бейри говорит, что хотя сама проблема в коде Active Directory и была известна Microsoft, возможность смены пароля – это новый виток атаки.
В блоге Aorato говорится, что около 95% компаний из списка Fortune 500 работают с Active Directory, что делает проблему в коде крайне опасной. Как пояснили специалисты, в случае с атакой дело заключается в протоколе NTLM для аутентификации. Все версии Windows старше XP SP3 используют NTLM по умолчанию, тогда как все остальные версии Windows – более новый протокол Kerberos. NTLM уязвим перед так называемой атакой Pass-the-Hash, в которой атакующий получает данные логинов и может применять математические репрезентации для них (хеш-функции) для вычисления пароля с последующим доступом.
Эксперты говорят, что атаки подобного рода – одни из самых популярных, когда нужно получить данные, с системы, где нет уязвимого ПО. Кроме того, pass-the-hash представляет собой один из самых простых и популярных способов атаки на системы Single Sign-On, в которых реквизиты хранятся удаленно. По словам экспертов, блокировка SSO отчасти может решить проблему, но ограничит функционал. Либо предприятия могут отказаться от NTLM в пользу kerberos. (Microsoft/NovostIT)
