Segurança

Vulnerabilidades comprometem protocolo de segurança do Windows

Pesquisadores alertam para vulnerabilidades encontradas nos protocolos LDAP e RDP do Windows que pode quebrar senhas e comprometer o domínio.

A equipe de segurança Preempt afirma que as falhas foram encontradas nos protocolos de segurança do Microsoft windows NT LAN Manager (NTLM), conjunto de protocolos de segurança da Microsoft que fornece autenticação através de um mecanismo de desafio/resposta e mantém a integridade e confidencialidade aos usuários.

Sempre que um usuário deseja se conectar a um servidor, o servidor envia-lhe um desafio; este mesmo desafio é criptografado pelo usuário através do hash de sua senha.  A vulnerabilidade permite que o atacante crie uma sessão paralela com um servidor usando o mesmo desafio, encaminhando o mesmo hash criptografado para criar uma autenticação NTLM bem-sucedida. Usando a autenticação NTLM bem-sucedida, o invasor poderia, por exemplo, abrir uma sessão de Bloco de Mensagens de Servidor (SMB) e infectar o sistema de destino com malwares.

Essas falhas são particularmente significante à medida que os atacantes podem criar novas contas de administrador do domínio mesmo que os controles de segurança como LDAP e o RDP etejam habilitados.

O LDAP foi desenvolvido para proteger contra ataques Man-in-the-Midle (MitM) e ataques de reencaminhamento de credenciais, porém, de acordo com a falha de segurança, o protocolo nem sempre cumpre com o seu objetivo.

Quando os protocolos do Windows usam a API de autenticação do Windows (SSPI), que permite o downgrade de uma sessão de autenticação para a NTLM, cada sessão pode ser comprometida se conectada a uma máquina infectada.

A segunda falha relaciona-se ao RDP Restricted-Admin Mode. O Preempt diz que os usuários podem se conectar a uma máquina remota sem submeterem suas senhas para a máquina remota que possa estar comprometida.

Para solucionar o problema e manter sua rede segura, é recomendável que seja instalado o patch disponibilizado pela Microsoft para o CVE-2017-8563 que corrige a vulnerabilidade. Habilite a opção “Exigir Assinatura LDAP” nas configurações do GPO, siga o guia para fazer aumentar a segurança da autenticação LDAP, monitore o tráfego NTLM em sua rede e verifique qualquer anomalia que encontrar. Não dê privilégios de administrador de domínio para o pessoal do suporte, pois à medida que eles se autenticam em muitas estações de trabalho, suas credencias se tornam menos seguras (é recomendável que siga o guia Microsoft Pass-the-Hash para segmentação de rede).

Mais informações: Preempt blog

Compartilhe
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Deixe um comentário