Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Lepiej sprawdźcie czy macie załatane kontrolery domeny. Możliwość przejęcia administratora domeny, nie wymagające żadnego uwierzytelnienia
W sierpniu Microsoft bez jakiegoś wielkiego rozgłosu załatał tę podatność. Krytyczna podatność (10/10 w skali CVSS) dotykająca wszystkie systemy serwerowe Microsoftu (poczynając od Windows 2008 Server) umożliwia przejęcie admina domenowego. Co więcej, według opisu nawet nie potrzebne jest żadne zwykłe konto, wystarczy możliwość sieciowego podłączenia się do kontrolera domeny:
To exploit the vulnerability, an unauthenticated attacker would be required to use MS-NRPC to connect to a domain controller to obtain domain administrator access.
Nieco więcej informacji pojawiło się właśnie na blogu firmy, która wykryła problem:
By forging an authentication token for specific Netlogon functionality, he was able to call a function to set the computer password of the Domain Controller to a known value. After that, the attacker can use this new password to take control over the domain controller and steal credentials of a domain admin.
The vulnerability stems from a flaw in a cryptographic authentication scheme used by the Netlogon Remote Protocol, which among other things can be used to update computer passwords. This flaw allows attackers to impersonate any computer, including the domain controller itself, and execute remote procedure calls on their behalf.
Dostępne jest też proste narzędzie, sprawdzające (przez sieć) czy Wasz kontroler domeny jest bezpieczny czy nie. Za kilka dni ma pojawić się techniczny dokument opisujący szczegóły buga, a niewiele później zapewne będą dostępne exploity. Warto więc się przygotować…
–ms
Ojej
Strzeżcie się wielickiego seta
Takie pytanie: czy można mieć w pełni funkcjonalny kontroler AD na Linuksie? Wymyślili już coś takiego?
FreeIPA jest ladna i latwa w obsludze