WAŻNE
TERAZ

Wiceminister finansów zrezygnował ze stanowiska

Uwierzytelnianie w Windows: coraz większy problem

Podczas prelekcji wygłoszonej na zakończonej w ubiegłym tygodniu konferencji Usenix programista Marsh Ray ponownie zwrócił uwagę na znany od dawna, ale niedoceniany problem w świecie Windows. Chodzi o to, że w wielu sytuacjach uwierzytelnianie za pomocą protokołu NTLMv2 nie jest bezpieczne.

Uwierzytelnianie w Windows: coraz większy problem
1

Potencjalny napastnik może bowiem przechwycić przekazywane dane logowania (credentials) i posłużyć się nimi do uwierzytelniania siebie na serwerach bez znajomości hasła. W tym wypadku napastnicy wykorzystują okoliczność, że NTLMv2 wprawdzie przekazuje dane w postaci zabezpieczonej kryptograficznie, ale mechanizm ten nie jest chroniony przed tak zwanymi atakami NTLM Replay i SMB Reflection.

Obraz
© (fot. Jupiter Images)

O ile ataki NTLM Replay pozwalają napastnikowi uzyskać dostęp do serwera, o tyle w przypadku ataków typu SMB Reflection operator zmanipulowanego serwera SMB po prostu odsyła dane NTLM Login Credentials należące do nazwy użytkownika, której próbowano wcześniej użyć do logowania na jego serwerze. W ten sposób włamywacz łączy się z komputerem ofiary i jest w stanie uruchamiać na nim programy. Do powodzenia ataku niezbędne jest jednak otwarcie portów 13. i 445 – z taką sytuacją mamy do czynienia chociażby przy włączonym udostępnianiu plików i drukarek w sieci LAN.

Microsoft wyeliminował tę lukę pod koniec 200. roku; inną usterkę, związaną z interfejsem WinHTTP koncern usunął na początku 2009 roku, a później dodatkowo przygotował łaty dla komponentów WinINet oraz Telnet. Firma potrzebowała jednak aż siedmiu lat na rozwiązanie problemu; wcześniejsza łata wpływała negatywnie na aplikacje sieciowe.

Wciąż pozostaje wiele nieuwzględnionych scenariuszy ataku –. szczególnie jeśli chodzi o produkty niebędące dziełem Microsoftu. Zdaniem Marsha Raya należą do nich choćby WebKit i Firefox, które – przykładowo – wykorzystują NTLM do uwierzytelniania serwerów proxy lub logowania na stronach WWW. Podjęta przez Mozillę próba zablokowania ataków Replay w Firefoksie doprowadziła na początku roku do tego, że uwierzytelnianie NTLM na serwerach pośredniczących przestało działać.

Ray w rozmowie z heise Security nie potwierdził wprawdzie, by sam wypróbował konkretny scenariusz ataku, za to podkreślił, że protokół NTLMv2 znajduje często zastosowanie (na przykład w kombinacji usługi Outlook Web Access z Internet Information Serverem). Gdy użytkownik zaloguje się wówczas za pośrednictwem publicznej sieci WLAN do własnego konta e-mailowego, potencjalny napastnik może wykorzystać przekazywane dane Credentials do zalogowania tam siebie. Poza tym wiele systemów VPN stosuje uwierzytelnianie NTLM.

W gościnnym wpisie w serwisie ZDnet ekspert wyraża ubolewanie z powodu, że tylko nieliczni rozumieją skalę problemu. Ray odnosi wrażenie, że tylko specjaliści od testów penetracyjnych i programiści z kilku firm (oraz niektórzy crackerzy) są w pełni świadomi ewentualnych konsekwencji. Jego zdaniem w tej chwili odpowiednią ochronę zapewni tylko przesiadka na inne protokoły uwierzytelniania, takie jak Kerberos, albo włączenie dodatkowych funkcji zabezpieczających typu SMB Signing.

wydanie internetowe www.heise-online.pl

1

Wybrane dla Ciebie

"To zdjęcie będzie symbolem". Nietypowa egzekucja naukowca w Iranie
"To zdjęcie będzie symbolem". Nietypowa egzekucja naukowca w Iranie
Zamachy na irańskich fizyków jądrowych. Zabijali ich nieznani sprawcy
Zamachy na irańskich fizyków jądrowych. Zabijali ich nieznani sprawcy
Izrael naśladuje Ukraińców? Potężny cios z wnętrza Iranu
Izrael naśladuje Ukraińców? Potężny cios z wnętrza Iranu
"To jest militarne arcydzieło". Analityk o uderzeniu Izraela
"To jest militarne arcydzieło". Analityk o uderzeniu Izraela
Izraelskie ataki prewencyjne. Operacje Powstający Lew, Orchard i Opera
Izraelskie ataki prewencyjne. Operacje Powstający Lew, Orchard i Opera
Sławosz i niekończąca się kwarantanna przed startem. Załoga w trybie ISS
Sławosz i niekończąca się kwarantanna przed startem. Załoga w trybie ISS
Żelazna Kopuła. Jak działa ochrona przeciwrakietowa Izraela?
Żelazna Kopuła. Jak działa ochrona przeciwrakietowa Izraela?
Brawurowy atak Izraela. Taka broń spada na Iran
Brawurowy atak Izraela. Taka broń spada na Iran
Tego samolotu nie ma nikt inny na świecie. Gwarant dominacji Izraela
Tego samolotu nie ma nikt inny na świecie. Gwarant dominacji Izraela
Atak Izraela na Iran. Co wiemy o irańskim programie atomowym?
Atak Izraela na Iran. Co wiemy o irańskim programie atomowym?
Odwet Iranu. Oto, co leciało w stronę Izraela
Odwet Iranu. Oto, co leciało w stronę Izraela
Pentagon rezygnuje z nowych AWACS-ów. Program zakupu E-7 Wedgetail skasowny
Pentagon rezygnuje z nowych AWACS-ów. Program zakupu E-7 Wedgetail skasowny