НАЗАД К НОВОСТЯМ
Эксплойты

Уязвимость Windows 10/11 позволяет раскрыть NTLM-хеши через атаку подмены (CVE-2024-21302)

3 мин чтенияИсточник: Exploit Database

Критическая уязвимость в Windows 10/11 (CVE-2024-21302) позволяет злоумышленникам похищать NTLM-хеши через атаку подмены. Узнайте о рисках и мерах защиты для корпоративных сетей.

Уязвимость раскрытия NTLM-хешей в Windows 10/11 позволяет проводить атаки подмены

Исследователи в области кибербезопасности обнаружили критическую уязвимость в Windows 10 и 11, которая позволяет злоумышленникам похищать NTLM-хеши с помощью атаки подмены. Уязвимость, зарегистрированная как CVE-2024-21302, была опубликована на Exploit Database и представляет значительную угрозу для предприятий, использующих механизмы аутентификации Windows.

Технические детали

Уязвимость эксплуатирует слабые места в протоколе аутентификации NTLM (NT LAN Manager), который, несмотря на свой устаревший статус, всё ещё широко применяется в сетевых средах Windows. Злоумышленники могут использовать эту уязвимость для:

  • Подмены легитимных сервисов, чтобы обманом заставить пользователей пройти аутентификацию на вредоносном сервере.
  • Перехвата NTLM-хешей в процессе передачи, которые затем могут быть взломаны офлайн или использованы в атаках pass-the-hash.
  • Обхода защитных механизмов, полагающихся на NTLM для аутентификации, включая некоторые реализации единого входа (SSO).

Эксплойт (ID: 52478) не требует повышенных привилегий, что делает его доступным для злоумышленников с низким уровнем доступа. Хотя Microsoft пока не выпустила подробного бюллетеня, предполагается, что уязвимость связана с неправильной обработкой механизмов challenge-response в NTLM.

Анализ последствий

Раскрытие NTLM-хешей несёт серьёзные риски, включая:

  • Кража учётных данных: Злоумышленники могут взломать NTLM-хеши для получения паролей в открытом виде, особенно если используются слабые или повторяющиеся пароли.
  • Латеральное перемещение: Похищенные хеши могут быть использованы в атаках pass-the-hash для перемещения по сети.
  • Повышение привилегий: В средах, где NTLM применяется для доступа с повышенными правами, злоумышленники могут эскалировать свои полномочия.
  • Угроза для предприятий: Организации, использующие устаревшие системы, гибридные среды или сторонние интеграции, полагающиеся на NTLM, находятся в зоне особого риска.

Рекомендации для служб безопасности

Для снижения рисков, связанных с CVE-2024-21302, специалистам по кибербезопасности рекомендуется:

  1. Устанавливать патчи Microsoft: Следить за обновлениями безопасности и оперативно их устанавливать.
  2. Отключать NTLM, где это возможно: Переходить на Kerberos или современные протоколы аутентификации (например, OAuth 2.0, SAML), чтобы снизить зависимость от NTLM.
  3. Включать подпись SMB: Требовать подпись SMB для предотвращения атак посредника, эксплуатирующих NTLM.
  4. Сегментировать сеть: Ограничивать латеральное перемещение путём сегментации сети и ограничения трафика NTLM.
  5. Мониторить подозрительную активность: Использовать SIEM-системы для обнаружения необычных попыток аутентификации через NTLM или перехвата хешей.
  6. Обучать сотрудников: Проводить тренинги по распознаванию фишинговых атак и попыток подмены, которые могут инициировать аутентификацию через NTLM.

Дальнейшие шаги

Учитывая широкое распространение NTLM в корпоративных средах, организациям следует уделить первоочередное внимание установке патчей и укреплению протоколов. Службам безопасности рекомендуется проанализировать журналы аутентификации на предмет признаков эксплуатации уязвимости и оценить степень подверженности атакам на основе NTLM.

Более подробную информацию можно найти в оригинальном описании эксплойта на Exploit Database.

Поделиться

TwitterLinkedIn