Исследователи безопасности рассказали об уязвимости обхода функции безопасности в Windows NT LAN Manager (NTLM). Уязвимость CVE-2021-1678 была обнаружена в компоненте сетевого стека и может быть проэксплуатирована удаленно.
Исследователи из Crowdstrike утверждают, что выявленная уязвимость позволяет злоумышленнику ретранслировать сеансы аутентификации NTLM на определенный компьютер и вынудить диспетчер очереди печати принтера через интерфейс MSRPC выполнить произвольный код.
Атаки с ретрансляцией NTLM представляют собой своего рода MitM-атаки, которые обычно позволяют злоумышленникам с доступом к сети перехватывать легитимный трафик аутентификации между клиентом и сервером и ретранслировать эти подтвержденные запросы аутентификации для доступа к сетевым службам.
Успешная эксплуатация уязвимости позволяет злоумышленнику удаленно запускать код на компьютере под управлением Windows или перемещаться по сети в критически важные системы, такие как серверы с контроллерами домена, повторно используя перехваченные учетные данные NTLM.
Кроме этого, в ходе анализа выявленной уязвимости, было обнаружено, что IRemoteWinspool (RPC-интерфейс для удаленного управления диспетчером очереди печати) можно использовать для выполнения ряда RPC-операций и записи произвольных файлов на компьютере с использованием перехваченного сеанса NTLM.
По информации Microsoft уязвимость была устранена путем "увеличения уровня аутентификации RPC и введения новой политики и раздела реестра, позволяющих клиентам отключать или включать режим принудительного применения на стороне сервера для повышения уровня аутентификации".
- 28.01.2021 Раскрыта информация о RCE-уязвимости NT LAN Manager
- 17.01.2021 Исправлена уязвимость нулевого дня в Microsoft Defender
- 14.12.2020 Опубликован PoC-эксплоит повышения привилегий, актуальный для всех версий Windows
- 06.12.2020 Обнаружен бэкдок, использующийся APT-группой последние 5 лет
- 04.10.2020 Больше половины всех Exchange Server уязвимы к атакам