ליקוי קריטי בעיצוב של Active Directory עלול לאפשר לשינויי סיסמא ועוד …

מיקרוסופט טוענת שהנושא כבר ידוע לה הרבה זמן, אבל חברת Aorato מישראל פיתחה התקפה לדוגמא ולהמחשת הבעיה. מיקרוסופט טוענת שהנושא כבר ידוע לה הרבה זמן, אבל חברת Aorato מישראל פיתחה התקפה לדוגמא ולהמחשת הבעיה.
בתוכנה שנמצאת בשימוש נרחב של מיקרוסופט ומשמשת כמגשרת בגישה לרשת נמצא פגם עיצובי בעייתי מאד נאמר על ידי גורם מחברת Aorato, אבל מיקרוסופט טוענת, הנושא כבר ידוע זה זמן רב וההגנות נמצאות במקום.
Aorato משתמשת במידע ציבורי על מנת לייצר מתקפת הוכחה של הקונספט שמראה איך תוקף יכול לשנות את סיסמאת הרשת של אדם,
פוטנציאל המאפשר גישה למערכות רגישות אחרות, אמר טל בארי, סגן הנשיא החברה.
"ההשלכות החמורות שאנו דנים בהן הינן – שתוקף יכול לשנות את הסיסמה – הייתה בהחלט לא ידועה", אמר בארי בראיון טלפוני ביום שלישי.
בערך 95 אחוזים מחברות ""Fortune 500 משתמשות ב- Active Directory, מה שהופך את הבעיה "לרגישה מאוד", Aorato כתב בבלוג שלו.
המחקר של החברה מתמקד ב- NTLM, פרוטוקול אימות שמיקרוסופט כבר מנסה לשלב את זה שנים. כל גרסאות Windows הישנות יותר של Windows XP SP3 משתמשות ב- NTLM כברירת מחדל, וגרסאות חדשות יותר של Windows תואמות את זה בשילוב עם היורשת שלה, Kerberos.
NTLM הוא פגיע במיוחד להתקפה של מה שנקרא "מידע ממוחזר" (pass-the-hash) שבתוקף מקבל אישורי כניסה למחשב וניתן להשתמש בייצוג המתמטי של אישורים אלה – הנקרא 'מידע ממוחזר' – כדי לגשת לשירותים או למחשבים אחרים.
זו היא אחת מהסוגים הפופולריים ביותר של מתקפות מאז מחשב שלא יכול להיות בעל ערך עבור הנתונים שהוא מאחסן בעצמו אבל יכול לאפשר גישה למערכות רגישות יותר.
חברה קמעונאית אמריקאית נפלה קורבן לתנועת רוחב מהסוג הזה ואשר הובילה לנתונים המבוקשים לאחר שההאקרים קבלו גישה לרשת שלה באמצעות ספק.
התקפת מעבר של מה שנקרא "מידע ממוחזר" (pass-the-hash)היא חולשה ידועה ארוכה סביב הכניסה יחידה מערכות מסוג single sign-on (SSO) ומאז "מידע ממוחזר" חייב להיות מאוחסן במקום כלשהו במערכת למשך זמן מסויים.
מערכות הפעלה אחרות שמארחות single sign-on (SSO) מושפעות גם מהאיום.
השבתת SSO תפתור את הבעיה, אבל זה אומר גם שמשתמשים ברשת יצטרכו להזין את הסיסמה שלהם שוב ושוב כדי לקבל גישה למערכות אחרות, וזה לא נוח.
"זה trade-off", אמר בארי.
בחברת Aorato טוענים שהאקר יכול לחטוף באמצעות פרוטוקול NTLM ובשימוש של כלי בדיקות חדירה זמינים לציבור כגון WCE או Mimikatz. זה מייצר הוכחה של הקונספט שמראה כיצד תוקפים ולאחר מכן יוכלו לשנות את הסיסמה של משתמש אחד ולגשת לשירותים אחרים כגון RDP (פרוטוקול שולחן עבודה מרוחקת) או יישום האינטרנט של Outlook.
למרות שכמה חברות מנסות להגביל את השימוש בפרוטוקול NTLM לטובת Kerberos, תוקף/האקר יכול להכריח את הלקוח לבצע האימות של Active Directory שמשתמש בפרוטוקול הצפנה חלש, RC4-HMAC, המשתמש ב- "מידע ממוחזר" NTLM. "מידע ממוחזר" ש- NTLM מקבל לאחר מכן על ידי Kerberos, שמנפיק כרטיס אימות טרי.

מיקרוסופט יישמה Kerberos כדי להתרחק מחלק מבעיות האבטחה של NTLM, אבל Kerberos עובד עם RC4-HMAC כדי לאפשר תאימות עם מערכות ישנות יותר.
לא ניתן היה לקבל את תגובת מיקרוסופט, אבל הם מודים בחולשות פרוטוקול NTLM בנייר עבודה טכני מ- 2012
בחודש מאי, מיקרוסופט מפיצה תיקון שמכיל שיפורים שהופכים לקשים יותר לגנבת אלגוריתמי NTLM.החברה גם הציעה לארגונים להשתמש בכרטיסים חכמים או תמיכת Kerberos RC4-HMAC ולהשבית חלק מבקרי התחום, אבל זה אפשרות זו עשוייה לפגוע בחלק מהפונקציונליות.
בארי אמר שמוזרויות ב-Active Directory יכולות לגרום לו לחזור ל- NTLM, מה שהופך את זה לקשה לחסימה בארגונים . ו- "זה לא באמת פתרון מעשי", הוא אמר.

לדוגמא, אם אדם מנסה לגשת למשאבי רשת באמצעות כתובת ה-IP שלה במקום שמה,
ה- Active Directory ישתמש ב- NTLM גם אם הארגון הוא בגרסה האחרונה של Windows, אמר בארי.
Aorato טוענים כי ניתן לעשות עוד סביב אירועים ב-log-in ושעשויים להצביע על התנהגות זדונית, כגון ציון אלגוריתם ההצפנה המשמש לשינוי סיסמא.
"למרות ש-Windows יצרה מערכת רישום אירועי Kerberos מפורטים, היא לא מצליחה להציג את המידע הרלוונטי להתקפה", כתב החברה. "כתוצאה מכך, קבצי הלוג חסרים ולא נותנים אינדיקציה לכך שמשהו חשוד קורה."
מאמר מקור:
http://www.itworld.com/security/427077/critical-design-flaw-active-directory-could-allow-password-change

דילוג לתוכן