جزئیات بیشتر درباره آسیب‌پذیری بای‌پس ویژگی امنیتی در (Windows NT LAN Manager (NTLM که توسط مایکروسافت بعنوان بخشی از بروزرسانی‌های ماهانه Patch Tuesday در اوایل ماه جاری مورد توجه قرار گرفت، منتشر شده است.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: windows-hacking.jpg
مشاهده: 12
حجم: 57.9 کیلو بایت

این نقص که به عنوان CVE-2021-1678 (نمره CVSS 4.3) ردیابی می‌شود، به عنوان نقص “قابل استفاده از راه دور” در یک کامپوننت آسیب‌پذیر متصل به پشته شبکه کشف شده است، اگرچه جزئیات دقیق نقص ناشناخته مانده است.
به گفته محققان Crowdstrike اگر اشکال امنیتی برطرف نشود به مهاجم امکان اجرای کد از راه دور از طریق یک رله NTLM را می‌دهد.

محققان در یک مشاوره جمعه گفتند: این آسیب‌پذیری به مهاجم اجازه می‌دهد Sessionهای احراز هویت NTLM را به دستگاه مورد حمله انتقال دهد و از یک رابط MSRPC برای اجرای از راه دور کد روی ماشین مورد حمله استفاده کند.
حملات NTLM نوعی حمله (man-in-the-middle (MitM است که به طور معمول به مهاجمین با دسترسی به شبکه اجازه می‌دهد تا ترافیک تأیید اعتبار بین مشتری و سرور را رهگیری کرده و این درخواست‌های تأیید اعتبار معتبر را برای دسترسی به خدمات شبکه پخش کنند.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: windows-bug.jpg
مشاهده: 9
حجم: 55.9 کیلو بایت

اکسپلویت موفقیت‌آمیز همچنین می‌تواند به یک دشمن اجازه دهد تا از راه دور کد را بر روی دستگاه ویندوز اجرا کند یا به صورت جانبی در شبکه به سیستم‌های مهمی مانند سرورهایی که میزبان دامین کنترلرها هستند با استفاده مجدد از اعتبار NTLM که به سرور آسیب دیده هدایت میشود، حرکت کند.

در حالی که با امضای SMB و LDAP و روشن کردن محافظت پیشرفته برای احراز هویت (EPA) میتوان چنین حملاتی را خنثی کرد، CVE-2021-1678 از ضعفی در (MSRPC (Microsoft Remote Procedure Call استفاده می‌کند که آن را در برابر این حمله آسیب‌پذیر می‌کند.

به طور خاص محققان دریافتند که IRemoteWinspool، رابط RPC برای مدیریت remote printer spooler، می‌تواند برای اجرای یک سری عملیات RPC و نوشتن پرونده‌های دلخواه روی دستگاه مورد نظر با استفاده از یک سشن NTLM رهگیری و از اهرم نیرو استفاده کند.

مایکروسافت در یک سند پشتیبانی گفت که این آسیب‌پذیری با افزایش سطح احراز هویت RPC و معرفی سیاست جدید و کلید رجیستری به مشتریان اجازه می‌دهد حالت Enforcement را در سمت سرور غیرفعال یا فعال کنند تا سطح احراز هویت را افزایش دهند.

علاوه بر نصب به روزرسانی ویندوز ۱۲ ژانویه، این شرکت از سازمان ها خواسته است تا حالت Enforcement را بر روی پرینت سرور روشن کنند، این تنظیمات به طور پیش‌فرض از ۸ ژوئن ۲۰۲۱ در همه دستگاه‌های ویندوز فعال می‌شود.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

93

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *