Przejdź na
  • Uwierzytelnianie w Windows: coraz większy problem

Uwierzytelnianie w Windows: coraz większy problem

Podczas prelekcji wygłoszonej na zakończonej w ubiegłym tygodniu konferencji Usenix programista Marsh Ray ponownie zwrócił uwagę na znany od dawna, ale niedoceniany problem w świecie Windows. Chodzi o to, że w wielu sytuacjach uwierzytelnianie za pomocą protokołu NTLMv2 nie jest bezpieczne.

Obraz

Potencjalny napastnik może bowiem przechwycić przekazywane dane logowania (credentials) i posłużyć się nimi do uwierzytelniania siebie na serwerach bez znajomości hasła. W tym wypadku napastnicy wykorzystują okoliczność, że NTLMv2 wprawdzie przekazuje dane w postaci zabezpieczonej kryptograficznie, ale mechanizm ten nie jest chroniony przed tak zwanymi atakami NTLM Replay i SMB Reflection.

Obraz
© (fot. Jupiter Images)

O ile ataki NTLM Replay pozwalają napastnikowi uzyskać dostęp do serwera, o tyle w przypadku ataków typu SMB Reflection operator zmanipulowanego serwera SMB po prostu odsyła dane NTLM Login Credentials należące do nazwy użytkownika, której próbowano wcześniej użyć do logowania na jego serwerze. W ten sposób włamywacz łączy się z komputerem ofiary i jest w stanie uruchamiać na nim programy. Do powodzenia ataku niezbędne jest jednak otwarcie portów 13. i 445 – z taką sytuacją mamy do czynienia chociażby przy włączonym udostępnianiu plików i drukarek w sieci LAN.

Microsoft wyeliminował tę lukę pod koniec 200. roku; inną usterkę, związaną z interfejsem WinHTTP koncern usunął na początku 2009 roku, a później dodatkowo przygotował łaty dla komponentów WinINet oraz Telnet. Firma potrzebowała jednak aż siedmiu lat na rozwiązanie problemu; wcześniejsza łata wpływała negatywnie na aplikacje sieciowe.

Wciąż pozostaje wiele nieuwzględnionych scenariuszy ataku –. szczególnie jeśli chodzi o produkty niebędące dziełem Microsoftu. Zdaniem Marsha Raya należą do nich choćby WebKit i Firefox, które – przykładowo – wykorzystują NTLM do uwierzytelniania serwerów proxy lub logowania na stronach WWW. Podjęta przez Mozillę próba zablokowania ataków Replay w Firefoksie doprowadziła na początku roku do tego, że uwierzytelnianie NTLM na serwerach pośredniczących przestało działać.

Ray w rozmowie z heise Security nie potwierdził wprawdzie, by sam wypróbował konkretny scenariusz ataku, za to podkreślił, że protokół NTLMv2 znajduje często zastosowanie (na przykład w kombinacji usługi Outlook Web Access z Internet Information Serverem). Gdy użytkownik zaloguje się wówczas za pośrednictwem publicznej sieci WLAN do własnego konta e-mailowego, potencjalny napastnik może wykorzystać przekazywane dane Credentials do zalogowania tam siebie. Poza tym wiele systemów VPN stosuje uwierzytelnianie NTLM.

W gościnnym wpisie w serwisie ZDnet ekspert wyraża ubolewanie z powodu, że tylko nieliczni rozumieją skalę problemu. Ray odnosi wrażenie, że tylko specjaliści od testów penetracyjnych i programiści z kilku firm (oraz niektórzy crackerzy) są w pełni świadomi ewentualnych konsekwencji. Jego zdaniem w tej chwili odpowiednią ochronę zapewni tylko przesiadka na inne protokoły uwierzytelniania, takie jak Kerberos, albo włączenie dodatkowych funkcji zabezpieczających typu SMB Signing.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie
Podziemne miasto rakietowe Iranu. Dominuje w Cieśninie Ormuz
Podziemne miasto rakietowe Iranu. Dominuje w Cieśninie Ormuz
"Trotylowe serce" Polski się rozrasta. Zaopatruje większość UE
"Trotylowe serce" Polski się rozrasta. Zaopatruje większość UE
Rura wystrzeliła na 13 m. Nie wiedzą, co się stało
Rura wystrzeliła na 13 m. Nie wiedzą, co się stało
Ograniczają produkcję rakiet. Stawiają na inną broń
Ograniczają produkcję rakiet. Stawiają na inną broń
Nowości w mObywatelu. Powiedzieli ile ich będzie
Nowości w mObywatelu. Powiedzieli ile ich będzie
Zaktualizuj urządzenia Apple. Przeglądarka ma poważną lukę
Zaktualizuj urządzenia Apple. Przeglądarka ma poważną lukę
Odkryli ją po 70 latach. Przeżyła bombę atomową
Odkryli ją po 70 latach. Przeżyła bombę atomową
Tajemniczy myśliwiec nad Iranem. Nie należy do USA ani Izraela
Tajemniczy myśliwiec nad Iranem. Nie należy do USA ani Izraela
Europejski kraj już je ma. "To jasny sygnał dla Putina"
Europejski kraj już je ma. "To jasny sygnał dla Putina"
Wciąż nie usłyszeliśmy obcych cywilizacji. Nowe wyjaśnienie ciszy
Wciąż nie usłyszeliśmy obcych cywilizacji. Nowe wyjaśnienie ciszy
Hera zbliża się do planetoidy Didymos. Zobaczymy skutki zderzenia
Hera zbliża się do planetoidy Didymos. Zobaczymy skutki zderzenia
Spektakularny meteor nad Ohio. Głośne eksplozje w dziesięciu stanach
Spektakularny meteor nad Ohio. Głośne eksplozje w dziesięciu stanach
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥