توییت
جزئیات بیشتر درباره آسیبپذیری بایپس ویژگی امنیتی در (Windows NT LAN Manager (NTLM که توسط مایکروسافت بعنوان بخشی از بروزرسانیهای ماهانه Patch Tuesday در اوایل ماه جاری مورد توجه قرار گرفت، منتشر شده است. 
این نقص که به عنوان CVE-2021-1678 (نمره CVSS 4.3) ردیابی میشود، به عنوان نقص "قابل استفاده از راه دور" در یک کامپوننت آسیبپذیر متصل به پشته شبکه کشف شده است، اگرچه جزئیات دقیق نقص ناشناخته مانده است.
به گفته محققان Crowdstrike اگر اشکال امنیتی برطرف نشود به مهاجم امکان اجرای کد از راه دور از طریق یک رله NTLM را میدهد.
محققان در یک مشاوره جمعه گفتند: این آسیبپذیری به مهاجم اجازه میدهد Sessionهای احراز هویت NTLM را به دستگاه مورد حمله انتقال دهد و از یک رابط MSRPC برای اجرای از راه دور کد روی ماشین مورد حمله استفاده کند.
حملات NTLM نوعی حمله (man-in-the-middle (MitM است که به طور معمول به مهاجمین با دسترسی به شبکه اجازه میدهد تا ترافیک تأیید اعتبار بین مشتری و سرور را رهگیری کرده و این درخواستهای تأیید اعتبار معتبر را برای دسترسی به خدمات شبکه پخش کنند.
اکسپلویت موفقیتآمیز همچنین میتواند به یک دشمن اجازه دهد تا از راه دور کد را بر روی دستگاه ویندوز اجرا کند یا به صورت جانبی در شبکه به سیستمهای مهمی مانند سرورهایی که میزبان دامین کنترلرها هستند با استفاده مجدد از اعتبار NTLM که به سرور آسیب دیده هدایت میشود، حرکت کند.
در حالی که با امضای SMB و LDAP و روشن کردن محافظت پیشرفته برای احراز هویت (EPA) میتوان چنین حملاتی را خنثی کرد، CVE-2021-1678 از ضعفی در (MSRPC (Microsoft Remote Procedure Call استفاده میکند که آن را در برابر این حمله آسیبپذیر میکند.
به طور خاص محققان دریافتند که IRemoteWinspool، رابط RPC برای مدیریت remote printer spooler، میتواند برای اجرای یک سری عملیات RPC و نوشتن پروندههای دلخواه روی دستگاه مورد نظر با استفاده از یک سشن NTLM رهگیری و از اهرم نیرو استفاده کند.
مایکروسافت در یک سند پشتیبانی گفت که این آسیبپذیری با افزایش سطح احراز هویت RPC و معرفی سیاست جدید و کلید رجیستری به مشتریان اجازه میدهد حالت Enforcement را در سمت سرور غیرفعال یا فعال کنند تا سطح احراز هویت را افزایش دهند.
علاوه بر نصب به روزرسانی ویندوز 12 ژانویه، این شرکت از سازمان ها خواسته است تا حالت Enforcement را بر روی پرینت سرور روشن کنند، این تنظیمات به طور پیشفرض از 8 ژوئن 2021 در همه دستگاههای ویندوز فعال میشود.
این نقص که به عنوان CVE-2021-1678 (نمره CVSS 4.3) ردیابی میشود، به عنوان نقص "قابل استفاده از راه دور" در یک کامپوننت آسیبپذیر متصل به پشته شبکه کشف شده است، اگرچه جزئیات دقیق نقص ناشناخته مانده است.
به گفته محققان Crowdstrike اگر اشکال امنیتی برطرف نشود به مهاجم امکان اجرای کد از راه دور از طریق یک رله NTLM را میدهد.
محققان در یک مشاوره جمعه گفتند: این آسیبپذیری به مهاجم اجازه میدهد Sessionهای احراز هویت NTLM را به دستگاه مورد حمله انتقال دهد و از یک رابط MSRPC برای اجرای از راه دور کد روی ماشین مورد حمله استفاده کند.
حملات NTLM نوعی حمله (man-in-the-middle (MitM است که به طور معمول به مهاجمین با دسترسی به شبکه اجازه میدهد تا ترافیک تأیید اعتبار بین مشتری و سرور را رهگیری کرده و این درخواستهای تأیید اعتبار معتبر را برای دسترسی به خدمات شبکه پخش کنند.
اکسپلویت موفقیتآمیز همچنین میتواند به یک دشمن اجازه دهد تا از راه دور کد را بر روی دستگاه ویندوز اجرا کند یا به صورت جانبی در شبکه به سیستمهای مهمی مانند سرورهایی که میزبان دامین کنترلرها هستند با استفاده مجدد از اعتبار NTLM که به سرور آسیب دیده هدایت میشود، حرکت کند.
در حالی که با امضای SMB و LDAP و روشن کردن محافظت پیشرفته برای احراز هویت (EPA) میتوان چنین حملاتی را خنثی کرد، CVE-2021-1678 از ضعفی در (MSRPC (Microsoft Remote Procedure Call استفاده میکند که آن را در برابر این حمله آسیبپذیر میکند.
به طور خاص محققان دریافتند که IRemoteWinspool، رابط RPC برای مدیریت remote printer spooler، میتواند برای اجرای یک سری عملیات RPC و نوشتن پروندههای دلخواه روی دستگاه مورد نظر با استفاده از یک سشن NTLM رهگیری و از اهرم نیرو استفاده کند.
مایکروسافت در یک سند پشتیبانی گفت که این آسیبپذیری با افزایش سطح احراز هویت RPC و معرفی سیاست جدید و کلید رجیستری به مشتریان اجازه میدهد حالت Enforcement را در سمت سرور غیرفعال یا فعال کنند تا سطح احراز هویت را افزایش دهند.
علاوه بر نصب به روزرسانی ویندوز 12 ژانویه، این شرکت از سازمان ها خواسته است تا حالت Enforcement را بر روی پرینت سرور روشن کنند، این تنظیمات به طور پیشفرض از 8 ژوئن 2021 در همه دستگاههای ویندوز فعال میشود.