وضعیت سرورها

وبــلاگ

وضعیت سرورها
  • آسیب‏ پذیری در پروتکل امنیتی NTLM ویندوز

    علیرضا وحدتی چهارشنبه ۱۸ مرداد ۱۳۹۶ اخبار , امنیت

    این ماه مایکروسافت یک وصله ‏‏ی امنیتی، برای یک آسیب‏ پذیری جدی (ارتقاء دسترسی) منتشر نموده است که تمامی نسخه ‏های ویندوز، از ۲۰۰۷ به بعد را تحت تأثیر قرار می‏ دهد. کاربران ویندوز می بایست جهت مصون ماندن از حملات فعالی که هر لحظه ممکن است اتفاق بیفتد آخرین به روز رسانیها را حتماً در اسرع وقت نصب کنند.

    محققان امنیتی شرکت Preemptدو آسیب‏پذیری  zero-day در پروتکل امنیتی NTLMویندوز کشف کرده ‏اند، هر دوی این آسیب‏ پذیری‏ها به مهاجم اجازه می‏ دهند که یک دامنه جدید ایجاد نموده و آن را به طور کامل کنترل نماید.

    در حقیقت   (NT LAN Manager (NTLM یک پروتکل احراز هویت قدیمی است که در شبکه‏ های شامل سیستم عامل‏ های ویندوز و همچنین در سیستم ‏های مستقل مورد استفاده قرار می‏گیرد.

     

     

    NTLM چیست؟

     

    NTLM خلاصه شده عبارت NT LAN Manager است که این نام در زمانی که ویندوز پشتیبانی شبکه خود را تا حد مدیریت LANپیش برد، به آن داده شده است. پروتکل NTLM، پروتکل پیش فرض احراز هویت در شبکه است که در سیستم عامل ویندوز NT 4.0 مورد استفاده قرار میگرفته است. NTLM یک پروتکل “Challenge Response” است که در حال حاضر برای ایجاد هماهنگی با نسخه های پایین تر از ویندوز ۲۰۰۰ مورد استفاده قرار میگیرد.
    نکته: احراز هویت “Challenge Response” خانواده ای از پروتکل ها را شامل می‌شود که در آن یک طرف ارتباط سوالی (Challeng) را مطرح می‌کند و طرف دیگر باید برای آن جوابی معتبر (Response) ارائه کند.
    پروتکل های احراز هویت NTLM شامل LAN Manager ورژن ۱ و ۲ و NTLM ورژن ۱ و ۲ است. تمام این پروتکل های در عمل یک فرایند را دنبال می‌کنند و تفاوت آن در میزان سطح رمزنگاری موجود در ذات امنیتیشان است. پروتکل های احراز هویت NTLM، کلاینت را بر اساس یک مکانیزم “Challenge Response” که به سرور نشان میدهد که کلاینت پسورد متناظر با اکانت را میداند، احراز هویت می‌کند. پروتکل NTLM میتواند بصورت دلخواه در امنیت session و بخصوص یکپارچگی و محرمانگی پیام ها نیز مورد استفده قرار گیرد.

    اگرچه NTLMتوسط Kerberosدر ویندوز ۲۰۰۰جایگزین شده است که امنیت بیشتری را در سیستم ‏های شبکه ‏ای فراهم آورد، اما همچنان توسط مایکروسافت پشتیبانی می‏‌شود و کماکان به صورت گسترده مورد استفاده قرار می‌‏گیرد.

     

    اقدامات لازم برای مصون ماندن از این آسیب پذیری

     

    ۱ .نصب وصله ی امنیتی ۸۵۶۳-۲۰۱۷-CVE بر روی تمامی Controller Domain ها. اگر بروزرسانی نرم افزاری خودکار فعال باشد، احتمالا مورد پوشش قرار گرفته اید اما به یاد داشته باشید برای اینکه وصله ی امنیتی کار کند باید Controller Domain را ریستارت نمایید.

    ۲ .فعال نمودن “Signing LDAP Require “در تنظیمات GPO: درخواست کنید بسته های LDAP و SMB ورودی، به صورت دیجیتالی امضا شوند. این ویژگی به صورت پیش فرض بر روی “on “تنظیم نشده است و بسیار شبیه “Signing SMB “می‌باشد، اگر تنظیمات به درستی پیکربندی نشده باشند شما در معرض خطر قرار دارید.

    ۳ .احراز هویت LDAP را از طریق TLS/SSL امن‌تر کنید.

    ۴ .ترافیک NTLM را بر روی شبکه ی خود کنترل نمایید و هرگونه استفاده غیرمعمول و ناشناخته را مجدداً مرور کنید.

    ۵ .مجوز دسترسی دامنه ی خود را به کسی ندهید .در صورت لزوم، دو حساب کاربری یکی برای کمک های از راه دور و دیگری با دسترسی های کاربری ادمین داشته باشید.

    عالوه بر نقصِ NTLM ،مایکروسافت وصله های امنیتی را برای ۵۵ آسیب پذیری امنیتی منتشر نموده است،که شامل ۱۱ مورد مهم در تعدادی از محصوالتش  از جمله Edge ،Explorer Internet ،Windows ، . Exchange Server و.، NET Framework ،Web Apps و Office Services و Office می باشد.

     

    مجدد توصیه می کنیم که کاربران ویندوزجهت مصون ماندن از حملات فعالی که هر لحظه ممکن است اتفاق بیفتد آخرین به روز رسانی‌ها را حتماً در اسرع وقت نصب کنند.

     

    برگرفته  از [thehackernews.com],[blog.preempt.com]

     

     

    0

    برچسب ها :

با عضویت در خبرنامه شما را از آخرین تجربیات مان و مطالب تخصصی آگاه خواهیم کرد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *