На конференции Black Hat USA 2016 исследователи Microsoft продемонстрировали, что уязвимость в Windows, которую, как ранее считали эксперты, можно проэксплуатировать только при наличии физического доступа, также имеет опасность удаленной эксплуатации.
В прошлом году на конференции Black Hat в Европе, исследователь Ян Хакен (Ian Haken) рассказал об уязвимости, позволяющей обойти локальную проверку подлинности Windows и отключить полное шифрование диска.
Уязвимость, получившая название , по словам Microsoft, была вызвана неспособностью протокола Kerberos проверить изменение пароля при входе пользователя. Казалось, чт овендор устранил этот недостаток в ноябре 2015 года, однако в феврале 2016 эксперты Набиль Ахмед (Nabeel Ahmed) и Том Гилис (Tom Gilis) обнаружили, что уязвимость до конца не устранена ().
Бюллетени безопасности, выпущенные Microsoft были отмечены только как «важные», потому что для эксплуатации уязвимости необходим был физический доступ. Атаки, требующие физического доступа к системе называют «evil maid».
Несмотря на то, что эти уязвимости являются довольно опасными, многие организации, скорее всего, пренебрегли установкой патчей, так как возможность атаки подразумевает наличие физического доступа к компьютеру. Хакеры, к слову, тоже проигнорировали эти бреши по той же причине.
Тем не менее, эксперты Microsoft Chaim Hoch и Tal Be'ery нашли способ воспользоваться этими уязвимостями удаленно и описали этот метод в четверг на конференции по безопасности Black Hat в Лас-Вегасе.
В атаке, описанной в прошлом году Хакеном, хакер может обойти проверку подлинности Windows, установив новый поддельный контроллер домена с тем же именем, что и компьютер жертвы. Имя может быть легко получено из экрана блокировки.
Затем злоумышленник должен создать четную запись пользователя с именем жертвы (эту информацию также можно получить из экрана блокировки). А пароль пользователя должен быть сконфигурирован как истекший.
В следующей фазе атаки, хакер физически получает доступ к системе, соединяет ее с поддельным контроллером домена и пытается войти в созданную учетную запись. Так как пароль истек, злоумышленнику будет предложено изменить его, а новый пароль добавится в кэшированные учетные данные локального компьютера.
Наконец, злоумышленник отключает устройство от поддельного контроллера домена и входит в систему с паролем, который он установил. Вход будет успешным, потому что компьютер не подключен к контроллеру домена и пароль сравнивается с кэшированной версией.
В случае удаленной атаки, злоумышленник использует такие инструменты как Nmap, чтобы найти в сети компьютеры, с запущенным протоколом удаленного рабочего стола (RDP). Злоумышленник также должен следить за активностью входов пользователей, чтобы вычислить уязвимые для атаки компьютеры.
После того, как атакуемый компьютер подключится к подлинному контроллеру домена, атака больше не сработает, так как кэшированные учетные данные не больше не используются. Для того чтобы сохранить доступ к компьютеру даже после того, как он возвращается к исходному контроллеру, киберпреступники могут получить пароль жертвы из памяти, используя такие инструменты, как Mimikatz.
Hoch и Tal Be'ery опубликовали видео, чтобы показать, как работает удаленная атака.
Исследователи полагают, что нет ничего трудного в проведении такой атаки. Одним из ее преимуществ является то, что она не оставляет никаких следов на целевом компьютере, особенно если хакер получает данные жертвы из памяти и использует их, чтобы войти.
Hoch и Tal Be'ery также отметили, что организациям, которые пренебрегли установкой патчей стоит пересмотреть свою точку зрения на этот вопрос.
Microsoft признала наличие новых проблем, вызванных недавними обновлениями системы Windows Server 2019. На этот раз апдейт под номером KB5037765, содержащий патчи, отказывается инсталлироваться, выдавая ошибку 0x800f0982.
Как пишет сама Microsoft на информационном ресурсе:
«Windows-серверы, на которые администраторы пытаются установить майские обновления (KB5037765), могут столкнуться с проблемами инсталляции».
«При установке апдейт может падать с ошибкой 0x800f0982. Проблема, судя по всему, затрагивает в первую очередь ОС, на которых не установлена поддержка языкового пакета en_us».
Microsoft подтвердила наличие бага после многочисленных сообщений от администраторов, которые жаловались на невозможность установить майские обновления на Windows Server 2019. Один из немецких блогеров также отмечал, что проблемы затрагивают ОС без английского языка.
Пока Microsoft работает над фиксом, затронутым админам советуют установить английский язык в системы.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
