Исследователи безопасности рассказали об уязвимости обхода функции безопасности в Windows NT LAN Manager (NTLM). Уязвимость CVE-2021-1678 была обнаружена в компоненте сетевого стека и может быть проэксплуатирована удаленно.

Исследователи из Crowdstrike утверждают, что выявленная уязвимость позволяет злоумышленнику ретранслировать сеансы аутентификации NTLM на определенный компьютер и вынудить диспетчер очереди печати принтера через интерфейс MSRPC выполнить произвольный код.

Атаки с ретрансляцией NTLM представляют собой своего рода MitM-атаки, которые обычно позволяют злоумышленникам с доступом к сети перехватывать легитимный трафик аутентификации между клиентом и сервером и ретранслировать эти подтвержденные запросы аутентификации для доступа к сетевым службам.

Успешная эксплуатация уязвимости позволяет злоумышленнику удаленно запускать код на компьютере под управлением Windows или перемещаться по сети в критически важные системы, такие как серверы с контроллерами домена, повторно используя перехваченные учетные данные NTLM.

Кроме этого, в ходе анализа выявленной уязвимости, было обнаружено, что IRemoteWinspool (RPC-интерфейс для удаленного управления диспетчером очереди печати) можно использовать для выполнения ряда RPC-операций и записи произвольных файлов на компьютере с использованием перехваченного сеанса NTLM.

По информации Microsoft уязвимость была устранена путем "увеличения уровня аутентификации RPC и введения новой политики и раздела реестра, позволяющих клиентам отключать или включать режим принудительного применения на стороне сервера для повышения уровня аутентификации".