Scritto da Alvise C. 0 commenti 480 Guarda 2 minutes Leggi
Scoperta%2BVulnerabilit%25C3%25A0%2B%25281%2529
Il protocollo NTLM è in uso nei sistemi Windows Server (e versioni Enterprise) fin dal 2007 ed è un protocollo di autenticazione ancora usato oggi, in particolare nelle seguenti condizioni (fonte Wikipedia):
  • Il client si sta autenticando ad un server utilizzando un indirizzo IP
  • Il client si sta autenticando ad un server che appartiene ad una foresta Active Directory differente che ha un legacy trust NTLM invece di un trust inter-foresta
  • Il client si sta autenticando ad un server che non appartiene ad un dominio
  • Non esiste un dominio Active Directory (ovvero quando esiste un workgroup oppure una rete peer-to-peer)

Nelle condizioni sopra-elencate infatti non viene usato Kerberos, il successore predefinito di autenticazione introdotto con Windows 2000. Le vulnerabilità sono state scoperte dai ricercatori Preempt e sono le seguenti:

La prima vulnerabilità coinvolge anche il Lightweight Directory Access Protocol (LDAP), ovvero permetterebbe ad un attaccante con privilegi SYSTEM di usare le richieste NTLM in entrata per eseguire operazioni LDAP per conto dell’utente NTLM.  Questo permetterebbe all’attaccante di creare un nuovo account domain administrator e prendere il controllo dell’intera rete. Di seguito un video dimostrativo dell’attacco: 


La seconda vulnerabilità risiede nel RDP Restricted-Admin, ovvero l’accesso remoto ad una macchina senza inserire alcuna password (avviabile tramite il comando Mstsc.exe /RestrictedAdmin).

I ricercatori Preempt hanno quindi scoperto che il protocollo di autenticazione in uso, ovvero Kerberos, può esser forzato al downgrade ed utilizzare l’autenticazione NTLM: cosa che permette ad un attaccante, combinata con la prima vulnerabilità, di eseguire un attacco per ottenere l’accesso al sistema. 

Microsoft ha corretto le vulnerabilità, ulteriori informazioni e download di seguito:

Possono esser applicate le seguenti contromisure:

  • aggiornare subito i server vulnerabili ai problemi evidenziati
  • impostare che i pacchetti LDAP e SMB siano firmati digitalmente 
  • aumentare la protezione delle connessioni LDAP seguendo questa KB

Approfondimenti: New LDAP & RDP Relay Vulnerabilities in NTLM

Via: The Hacker News

Potresti Leggere:
0 commenti 0 FacebookTwitterLinkedinRedditWhatsappTelegramEmail

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue. Per info: [email protected] Iscriviti su LinkedIn alla mia newsletter https://www.linkedin.com/build-relation/newsletter-follow?entityUrn=7019043583668187136

Scelti Da Noi

Copyright Musicale su YouTube: Uso e Monetizzazione
da ScartOff
YouTube Premium Lite: Tutto Quello che Devi Sapere
da ScartOff
MoniMaster Pro Recensione 2025: Il Miglior Software di Monitoraggio?
da Alvise C.

Posts a Random

Come trasferire le proprie foto da Facebook a Google Foto
da Alvise C.
HOW TO: Modificare percorso Rullino Fotocamera Windows 10
da Alvise C.
Porto Rico, chiamate gratis via Skype
da Alvise C.

Popular Categories

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Facebook Youtube Reddit
Privacy Policy Cookie Policy

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.