یک آسیب‌پذیری حیاتی در پروتکل امنیتی NTLM در ویندوز کشف شده است، هم‌اکنون به‌روزرسانی کنید.

به‌عنوان بخشی از وصله منتشر شده ماهیانه شرکت مایکروسافت در روز سه‌شنبه ۱۱ جولای ۲۰۱۷، این شرکت وصله‌ای امنیتی برای یک آسیب‌پذیری افزایش سطح دسترسی جدی را منتشر کرده است که بر روی تمامی نسخه‌های ویندوز که برای شرکت‌ها و از سال ۲۰۰۷ به بعد منتشر شده‌اند تأثیرگذار است[۱].

محققان در شرکت Preempt که متخصص فایروال است دو آسیب‌پذیری روز صفر را در پروتکل‌های امنیتی NTLM در ویندوز کشف کردند که هر دوی آن‌ها به مهاجمان اجازه می‌داد تا یک دامنه جدید با حساب کاربری مدیریتی بسازند و کنترل کامل دامنه موردنظر را در دست گیرند.

NTLM یا مدیر شبکه NT یک پروتکل قدیمی احراز هویت بر روی شبکه‌هاست که شامل سیستم‌هایی می‌شود که سیستم‌عامل ویندوز بر روی آن‌ها نصب شده است و سیستم‌های stand-alone هستند.

بااینکه NTLM توسط Kerberos در ویندوز ۲۰۰۰ جایگزین شده است که موجب افزایش امنیت بر روی سیستم‌های یک شبکه شده است، اما NTLM همچنان توسط مایکروسافت پشتیبانی می‌شود و به‌طور گسترده مورد استفاده قرار می‌گیرد.

آسیب‌پذیری اول شامل پروتکل دسترسی دایرکتوری Lightweight محافظت نشده یا همان LDAP می‌شود که بخشی از NTLM است و آسیب‌پذیری دوم بر روی حالت محدودشده ادمین پروتکل دسکتاپ از راه دور یا همان RDP تأثیرگذار است.

LDAP در اینکه به‌اندازه کافی در برابر حملات بر پایه NTLM مقاومت کند، شکست خورده است، حتی اگر بر پایه تنظیمات دفاعی تنظیم شده باشد که در این حالت فقط از حملات مردی در میان جلوگیری می‌کند و نه از کلیه حملات احتمالی.

این آسیب‌پذیری می‌تواند به یک مهاجم با سطح دسترسی سیستمی بر روی دستگاه مورد هدف اجازه دهد تا از session های NTLM ورودی استفاده کرده و عملیات LDAP را مانند به‌روزرسانی اشیاء دامنه از طرف کاربر NTLM انجام دهد.

Yaron Zinar از شرکت Preempt در گزارش مرتبط با جزئیات این آسیب‌پذیری این‌گونه توضیح داده است[۲]: “برای اینکه متوجه شویم که این مشکل چقدر جدی است، ما احتیاج داریم تا تمامی پروتکل‌های ویندوز که از Windows Authentication API یا SSPI استفاده می‌کنند را بشناسیم که اجازه می‌دهند یک جلسه احراز هویت به NTLM کاهش یابد. به‌عنوان نتیجه، هر ارتباطی به یک ماشین آلوده مانند SMB، WMI، SQL، HTTP با یک دامنه ادمین موجب این می‌شود که مهاجم یک دامنه دارای حساب کاربری ادمین ایجاد کند و کنترل کامل شبکه موردحمله واقع‌شده را در دست گیرد.”

محققان شرکت Preempt همچنین یک ویدیو منتشر کردند که اعتبار حملات relay را اثبات می‌کند[۳].

آسیب‌پذیری دوم NTLM بر روی حالت محدودشده توسط ادمینِ پروتکل دسکتاپ از راه دور تأثیرگذار است. این حالت محدودشده توسط ادمین RDP به کاربران اجازه می‌دهد تا به یک کامپیوتر از راه دور متصل شوند بدون اینکه کلمه عبور آن را داشته باشند.

بر طبق گفته محققان شرکت Preempt، حالت محدودشده توسط ادمین RDP به سیستم‌های احراز هویت شده اجازه می‌دهد تا به NTLM به‌نوعی downgrade شوند. این بدان معنی است که حملاتی که با NTLM انجام می‌شوند مانند relay کردن گواهی‌نامه و کرک کردن کلمات عبور، می‌توانند علیه حالت محدودشده توسط ادمین RDP نیز انجام شوند.

هنگام ترکیب شدن با آسیب‌پذیریِ relay کردن LDAP، یک مهاجم می‌تواند هنگامی‌که یک ادمین در حالت محدودشده توسط ادمین RDP به شبکه متصل شود، یک حساب کاربری با دامنه ادمین بسازد و کنترل کامل دامنه را در دست گیرد.

محققان آسیب‌پذیری‌های Relay در LDAP و RDP را که در NTLM قرار داشتند را کشف کردند و در ماه آوریل ۲۰۱۷ آن‌ها را به مایکروسافت اعلام کردند.

بااین‌حال، شرکت مایکروسافت آسیب‌پذیری NTLM LDAP را در ماه می ۲۰۱۷ تصدیق کرد که CVE-2017-8563 نام‌گذاری شد[۴]، اما آسیب‌پذیری RDP نادیده گرفته شده و این‌گونه ادعا شد که این یک موضوع شناخته‌شده است و پیشنهاد می‌شود که تنظیمات شبکه به‌گونه‌ای انجام شود تا در برابر NTLM relay در امان باشد.

مایکروسافت در گزارشی که منتشر کرده است این‌گونه نوشته است: “در یک سناریوی حمله از راه دور، یک مهاجم می‌تواند توسط اجرای یک برنامه دستکاری‌شده به‌خصوص، برای فرستادن ترافیک مخرب به کنترل‌کننده دامنه از این آسیب‌پذیری بهره‌برداری کند. مهاجمی که بتواند به‌طور موفقیت‌آمیز از این آسیب‌پذیری بهره‌برداری کند می‌تواند عملیاتی را در یک زمینه سطح بالا اجرا کند. به‌روزرسانی‌های منتشرشده این آسیب‌پذیری را توسط داخل کردن پیشرفت‌هایی به پروتکل‌های احراز هویت به‌منظور کاهش حملات احراز هویت، برطرف کرده‌اند. این موضوع در مورد مفهوم اطلاعات مرتبط با کانال binding است.”

بنابراین به مدیران سیستم‌ها پیشنهاد می‌شود تا سرورهای آسیب‌پذیر خود را توسط فعال کردنNT LAN Manager هر چه سریع‌تر به‌روزرسانی کنند.

شما حتی می‌توانید این گزینه را در نظر بگیرید که NT LAN Manager را خاموش کنید یا درخواست دهید تا بسته‌های ورودی LDAP و SMB به‌صورت دیجیتالی امضا شوند تا از حملات بر پایه relay در امان باشید.

علاوه بر این آسیب‌پذیری NTLM relay، مایکروسافت وصله‌هایی برای ۵۵ آسیب‌پذیری امنیتی دیگر نیز منتشر کرده است که شامل ۱۹ آسیب‌پذیری حیاتی در بعضی از محصولاتش شامل Edge، اینترنت اکسپلورر، ویندوز، آفیس، سرویس‌های آفیس و برنامه‌های تحت وب، .NET Framework و Exchange Server می‌شوند.

به کاربران ویندوز شدیداً توصیه می‌شود تا هر چه سریع‌تر آخرین به‌روزرسانی‌های منتشرشده را بر روی سیستم‌های خود نصب کنند تا از آن‌ها در برابر چنین حملاتی در سطح اینترنت محافظت شود.

منابع

[۱]https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/f2b16606-4945-e711-80dc-000d3a32fc99

[۲] https://blog.preempt.com/new-ldap-rdp-relay-vulnerabilities-in-ntlm

[۳] https://youtu.be/pKt9IJJOM3I

[۴] https://nvd.nist.gov/vuln/detail/CVE-2017-8563

[۵] http://thehackernews.com/2017/07/windows-ntlm-security-flaw.html