На конференции Black Hat USA 2016 исследователи Microsoft продемонстрировали, что уязвимость в Windows, которую, как ранее считали эксперты, можно проэксплуатировать только при наличии физического доступа, также имеет опасность удаленной эксплуатации.
В прошлом году на конференции Black Hat в Европе, исследователь Ян Хакен (Ian Haken) рассказал об уязвимости, позволяющей обойти локальную проверку подлинности Windows и отключить полное шифрование диска.
Уязвимость, получившая название , по словам Microsoft, была вызвана неспособностью протокола Kerberos проверить изменение пароля при входе пользователя. Казалось, чт овендор устранил этот недостаток в ноябре 2015 года, однако в феврале 2016 эксперты Набиль Ахмед (Nabeel Ahmed) и Том Гилис (Tom Gilis) обнаружили, что уязвимость до конца не устранена ().
Бюллетени безопасности, выпущенные Microsoft были отмечены только как «важные», потому что для эксплуатации уязвимости необходим был физический доступ. Атаки, требующие физического доступа к системе называют «evil maid».
Несмотря на то, что эти уязвимости являются довольно опасными, многие организации, скорее всего, пренебрегли установкой патчей, так как возможность атаки подразумевает наличие физического доступа к компьютеру. Хакеры, к слову, тоже проигнорировали эти бреши по той же причине.
Тем не менее, эксперты Microsoft Chaim Hoch и Tal Be'ery нашли способ воспользоваться этими уязвимостями удаленно и описали этот метод в четверг на конференции по безопасности Black Hat в Лас-Вегасе.
В атаке, описанной в прошлом году Хакеном, хакер может обойти проверку подлинности Windows, установив новый поддельный контроллер домена с тем же именем, что и компьютер жертвы. Имя может быть легко получено из экрана блокировки.
Затем злоумышленник должен создать четную запись пользователя с именем жертвы (эту информацию также можно получить из экрана блокировки). А пароль пользователя должен быть сконфигурирован как истекший.
В следующей фазе атаки, хакер физически получает доступ к системе, соединяет ее с поддельным контроллером домена и пытается войти в созданную учетную запись. Так как пароль истек, злоумышленнику будет предложено изменить его, а новый пароль добавится в кэшированные учетные данные локального компьютера.
Наконец, злоумышленник отключает устройство от поддельного контроллера домена и входит в систему с паролем, который он установил. Вход будет успешным, потому что компьютер не подключен к контроллеру домена и пароль сравнивается с кэшированной версией.
В случае удаленной атаки, злоумышленник использует такие инструменты как Nmap, чтобы найти в сети компьютеры, с запущенным протоколом удаленного рабочего стола (RDP). Злоумышленник также должен следить за активностью входов пользователей, чтобы вычислить уязвимые для атаки компьютеры.
После того, как атакуемый компьютер подключится к подлинному контроллеру домена, атака больше не сработает, так как кэшированные учетные данные не больше не используются. Для того чтобы сохранить доступ к компьютеру даже после того, как он возвращается к исходному контроллеру, киберпреступники могут получить пароль жертвы из памяти, используя такие инструменты, как Mimikatz.
Hoch и Tal Be'ery опубликовали видео, чтобы показать, как работает удаленная атака.
Исследователи полагают, что нет ничего трудного в проведении такой атаки. Одним из ее преимуществ является то, что она не оставляет никаких следов на целевом компьютере, особенно если хакер получает данные жертвы из памяти и использует их, чтобы войти.
Hoch и Tal Be'ery также отметили, что организациям, которые пренебрегли установкой патчей стоит пересмотреть свою точку зрения на этот вопрос.
