آسیب پذیری در پروتکل امنیتی ntlm ویندوز
این ماه مایکروسافت یک وصله ی امنیتی، برای یک آسیب پذیری جدی (ارتقاء دسترسی) منتشر نموده است که تمامی نسخه های ویندوز، از ۲۰۰۷ به بعد را تحت تأثیر قرار می دهد. کاربران ویندوز می بایست جهت مصون ماندن از حملات فعالی که هر لحظه ممکن است اتفاق بیفتد آخرین به روز رسانیها را حتماً در اسرع وقت نصب کنند.
محققان امنیتی شرکت Preemptدو آسیبپذیری zero-day در پروتکل امنیتی NTLMویندوز کشف کرده اند، هر دوی این آسیب پذیریها به مهاجم اجازه می دهند که یک دامنه جدید ایجاد نموده و آن را به طور کامل کنترل نماید.
در حقیقت (NT LAN Manager (NTLM یک پروتکل احراز هویت قدیمی است که در شبکه های شامل سیستم عامل های ویندوز و همچنین در سیستم های مستقل مورد استفاده قرار میگیرد.
NTLM چیست؟
NTLM خلاصه شده عبارت NT LAN Manager است که این نام در زمانی که ویندوز پشتیبانی شبکه خود را تا حد مدیریت LANپیش برد، به آن داده شده است. پروتکل NTLM، پروتکل پیش فرض احراز هویت در شبکه است که در سیستم عامل ویندوز NT 4.0 مورد استفاده قرار میگرفته است. NTLM یک پروتکل “Challenge Response” است که در حال حاضر برای ایجاد هماهنگی با نسخه های پایین تر از ویندوز ۲۰۰۰ مورد استفاده قرار میگیرد.
نکته: احراز هویت “Challenge Response” خانواده ای از پروتکل ها را شامل میشود که در آن یک طرف ارتباط سوالی (Challeng) را مطرح میکند و طرف دیگر باید برای آن جوابی معتبر (Response) ارائه کند.
پروتکل های احراز هویت NTLM شامل LAN Manager ورژن ۱ و ۲ و NTLM ورژن ۱ و ۲ است. تمام این پروتکل های در عمل یک فرایند را دنبال میکنند و تفاوت آن در میزان سطح رمزنگاری موجود در ذات امنیتیشان است. پروتکل های احراز هویت NTLM، کلاینت را بر اساس یک مکانیزم “Challenge Response” که به سرور نشان میدهد که کلاینت پسورد متناظر با اکانت را میداند، احراز هویت میکند. پروتکل NTLM میتواند بصورت دلخواه در امنیت session و بخصوص یکپارچگی و محرمانگی پیام ها نیز مورد استفده قرار گیرد.
اگرچه NTLMتوسط Kerberosدر ویندوز ۲۰۰۰جایگزین شده است که امنیت بیشتری را در سیستم های شبکه ای فراهم آورد، اما همچنان توسط مایکروسافت پشتیبانی میشود و کماکان به صورت گسترده مورد استفاده قرار میگیرد.
اقدامات لازم برای مصون ماندن از این آسیب پذیری
۱ .نصب وصله ی امنیتی ۸۵۶۳-۲۰۱۷-CVE بر روی تمامی Controller Domain ها. اگر بروزرسانی نرم افزاری خودکار فعال باشد، احتمالا مورد پوشش قرار گرفته اید اما به یاد داشته باشید برای اینکه وصله ی امنیتی کار کند باید Controller Domain را ریستارت نمایید.
۲ .فعال نمودن “Signing LDAP Require “در تنظیمات GPO: درخواست کنید بسته های LDAP و SMB ورودی، به صورت دیجیتالی امضا شوند. این ویژگی به صورت پیش فرض بر روی “on “تنظیم نشده است و بسیار شبیه “Signing SMB “میباشد، اگر تنظیمات به درستی پیکربندی نشده باشند شما در معرض خطر قرار دارید.
۳ .احراز هویت LDAP را از طریق TLS/SSL امنتر کنید.
۴ .ترافیک NTLM را بر روی شبکه ی خود کنترل نمایید و هرگونه استفاده غیرمعمول و ناشناخته را مجدداً مرور کنید.
۵ .مجوز دسترسی دامنه ی خود را به کسی ندهید .در صورت لزوم، دو حساب کاربری یکی برای کمک های از راه دور و دیگری با دسترسی های کاربری ادمین داشته باشید.
عالوه بر نقصِ NTLM ،مایکروسافت وصله های امنیتی را برای ۵۵ آسیب پذیری امنیتی منتشر نموده است،که شامل ۱۱ مورد مهم در تعدادی از محصوالتش از جمله Edge ،Explorer Internet ،Windows ، . Exchange Server و.، NET Framework ،Web Apps و Office Services و Office می باشد.
مجدد توصیه می کنیم که کاربران ویندوزجهت مصون ماندن از حملات فعالی که هر لحظه ممکن است اتفاق بیفتد آخرین به روز رسانیها را حتماً در اسرع وقت نصب کنند.
این ماه مایکروسافت یک وصله ی امنیتی، برای یک آسیب پذیری جدی (ارتقاء دسترسی) منتشر نموده است که تمامی نسخه های ویندوز، از ۲۰۰۷ به بعد را تحت تأثیر قرار می دهد. کاربران ویندوز می بایست جهت مصون ماندن از حملات فعالی که هر لحظه ممکن است اتفاق بیفتد آخرین به روز رسانیها را حتماً در اسرع وقت نصب کنند.
محققان امنیتی شرکت Preemptدو آسیبپذیری zero-day در پروتکل امنیتی NTLMویندوز کشف کرده اند، هر دوی این آسیب پذیریها به مهاجم اجازه می دهند که یک دامنه جدید ایجاد نموده و آن را به طور کامل کنترل نماید.
در حقیقت (NT LAN Manager (NTLM یک پروتکل احراز هویت قدیمی است که در شبکه های شامل سیستم عامل های ویندوز و همچنین در سیستم های مستقل مورد استفاده قرار میگیرد.
NTLM چیست؟
NTLM خلاصه شده عبارت NT LAN Manager است که این نام در زمانی که ویندوز پشتیبانی شبکه خود را تا حد مدیریت LANپیش برد، به آن داده شده است. پروتکل NTLM، پروتکل پیش فرض احراز هویت در شبکه است که در سیستم عامل ویندوز NT 4.0 مورد استفاده قرار میگرفته است. NTLM یک پروتکل “Challenge Response” است که در حال حاضر برای ایجاد هماهنگی با نسخه های پایین تر از ویندوز ۲۰۰۰ مورد استفاده قرار میگیرد.
نکته: احراز هویت “Challenge Response” خانواده ای از پروتکل ها را شامل میشود که در آن یک طرف ارتباط سوالی (Challeng) را مطرح میکند و طرف دیگر باید برای آن جوابی معتبر (Response) ارائه کند.
پروتکل های احراز هویت NTLM شامل LAN Manager ورژن ۱ و ۲ و NTLM ورژن ۱ و ۲ است. تمام این پروتکل های در عمل یک فرایند را دنبال میکنند و تفاوت آن در میزان سطح رمزنگاری موجود در ذات امنیتیشان است. پروتکل های احراز هویت NTLM، کلاینت را بر اساس یک مکانیزم “Challenge Response” که به سرور نشان میدهد که کلاینت پسورد متناظر با اکانت را میداند، احراز هویت میکند. پروتکل NTLM میتواند بصورت دلخواه در امنیت session و بخصوص یکپارچگی و محرمانگی پیام ها نیز مورد استفده قرار گیرد.
اگرچه NTLMتوسط Kerberosدر ویندوز ۲۰۰۰جایگزین شده است که امنیت بیشتری را در سیستم های شبکه ای فراهم آورد، اما همچنان توسط مایکروسافت پشتیبانی میشود و کماکان به صورت گسترده مورد استفاده قرار میگیرد.
اقدامات لازم برای مصون ماندن از این آسیب پذیری
۱ .نصب وصله ی امنیتی ۸۵۶۳-۲۰۱۷-CVE بر روی تمامی Controller Domain ها. اگر بروزرسانی نرم افزاری خودکار فعال باشد، احتمالا مورد پوشش قرار گرفته اید اما به یاد داشته باشید برای اینکه وصله ی امنیتی کار کند باید Controller Domain را ریستارت نمایید.
۲ .فعال نمودن “Signing LDAP Require “در تنظیمات GPO: درخواست کنید بسته های LDAP و SMB ورودی، به صورت دیجیتالی امضا شوند. این ویژگی به صورت پیش فرض بر روی “on “تنظیم نشده است و بسیار شبیه “Signing SMB “میباشد، اگر تنظیمات به درستی پیکربندی نشده باشند شما در معرض خطر قرار دارید.
۳ .احراز هویت LDAP را از طریق TLS/SSL امنتر کنید.
۴ .ترافیک NTLM را بر روی شبکه ی خود کنترل نمایید و هرگونه استفاده غیرمعمول و ناشناخته را مجدداً مرور کنید.
۵ .مجوز دسترسی دامنه ی خود را به کسی ندهید .در صورت لزوم، دو حساب کاربری یکی برای کمک های از راه دور و دیگری با دسترسی های کاربری ادمین داشته باشید.
عالوه بر نقصِ NTLM ،مایکروسافت وصله های امنیتی را برای ۵۵ آسیب پذیری امنیتی منتشر نموده است،که شامل ۱۱ مورد مهم در تعدادی از محصوالتش از جمله Edge ،Explorer Internet ،Windows ، . Exchange Server و.، NET Framework ،Web Apps و Office Services و Office می باشد.
مجدد توصیه می کنیم که کاربران ویندوزجهت مصون ماندن از حملات فعالی که هر لحظه ممکن است اتفاق بیفتد آخرین به روز رسانیها را حتماً در اسرع وقت نصب کنند.