Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Seria błędów w Windows NTLM – zdalne wykonanie kodu. Podatne wszystkie wersje Windows

12 czerwca 2019, 11:35 | W biegu | 0 komentarzy
Tagi: , ,

Tytuł u nas jak i na stronie badaczy dość mocny. Ale po pierwsze zwróćcie uwagę, że do ataku wymagana jest obecność wsparcia dla protokołu NTLM (jest on dość stary, choć w dużych sieciach może jeszcze działać – kompatybilność wsteczna).

Po drugie, trzeba mieć przejęty jeden z serwerów w sieci Windowsowej – a mając to można realizować stary jak świat atak NTLM Relay (Microsoft od dawna zabezpiecza się przed tym, ale jak się okazało teraz niezbyt skutecznie).

Co można zrobić dalej? Ktoś loguje się do naszej przejętej maszyny a my przekierowujemy (relay) ten fakt na kontroler domeny czy inną maszynę i w imieniu użytkownika Robimy Co chcEmy (RCE).

Łatki Microsoftu tutaj i tutaj.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz