Authentication under Windows: A smouldering security problem
16 August 2010, 14:58
Bài được đưa lên Internet ngày: 16/08/2010
Lời người dịch: Nếu bạn sử dụng giao thức NTLMv2 để xác thực trong các hệ thống Windows, thì bạn có thể gặp rủi ro bất kỳ lúc nào, trừ phi bạn chuyển sang những giao thức khác, như Kerberos hoặc sử dụng SMB Signing.
Nói tại hội nghị USENIX, kết thúc vào cuối tuần trước, lập trình viên Marsh Ray đã nhấn mạnh tới một lỗi nổi tiếng và cũ mà tiếp tục được đánh giá thấp trong thế giới Windows: các cơ chế xác thực liên quan tới NTLMv2 thường là không an ninh. Những kẻ tấn công có thể can thiệp một cách tiềm năng các quyền ủy nhiệm được truyền trong lúc đăng nhập và sử dụng sai chúng để đăng nhập vào bản thân các máy chủ – mà không biết mật khẩu. Những kẻ tấn công khai thác một sự yếu kém trong NTLMv2, một giao thức bị tổn thương đối với những cuộc tấn công “chơi lại” và “phản ứng lại” mặc dù nó truyền bản thân các dữ liệu ở một dạng được mã hóa không an ninh.
Trong khi một kẻ tấn công tung ra một cuộc tấn công phản ứng lại có thể giành được sự truy cập tới một máy chủ, thì các cuộc tấn công như phản ứng lại SMB chỉ đòi hỏi người vận hành máy chủ SMB bị lừa đảo một cách đặc biệt để gửi đi các quyền ủy nhiệm đăng nhập NTLM của một mưu toan đăng nhập tại máy chủ của người vận hành ngược tới nạn nhân. Điều này cho phép kẻ tấn công giành được sự truy cập tới máy tính cá nhân của nạn nhân và chạy các chương trình ở đó. Các cuộc tấn công thành công đòi hỏi các cổng 139 và 445 là truy cập được trên máy của nạn nhân, mà sẽ có vấn đề nếu, ví dụ, việc chia sẻ tệp và máy in được phép trong một mạng cục bộ.
Microsoft đã tung ra các bản vá để sửa chỗ bị tổn thương SMB đặc biệt này vào cuối năm 2008, đã bổ sung bản vá khác có liên quan tới WinHTTP vào đầu năm 2009 và sau đó cũng đã tung ra các bản vá cho WinINet và Telnet. Tuy nhiên, nhà cung cấp đã cần 7 năm để giải quyết vấn đề này; một bản vá sớm hơn có thể đã có những ảnh hưởng cực kỳ tiêu cực đối với các ứng dụng mạng khi đó.
Hàng loạt các kịch bản khác vẫn còn duy trì được cập nhật – đặc biệt nơi mà những sản phẩm không phải của Microsoft được kết nối. Marsh Ray nói rằng những sản phẩm bị ảnh hưởng có WebKit và Firefox, mà chúng sử dụng NTLM cho những tác vụ như vậy như là sự xác thực ủy quyền và các đăng nhập trang web. Một dự định của Mozilla để ngăn ngừa các cuộc tấn công chơi lại trong Firefox đã gây ra cho xác thực NTLM hoạt động không đúng trên các máy ủy quyền đầu năm nay.
Speaking at the USENIX conference, which ended last week, developer Marsh Ray highlighted an old and known flaw that continues to be underestimated in the Windows world: authentication mechanisms involving NTLMv2 are often insecure. Attackers can potentially intercept the credentials transmitted during log-in and misuse them to log into the servers themselves – without knowing the password. The attackers exploit a weakness in NTLMv2, a protocol which is vulnerable to "replay" and "reflection" attacks although it does transmit the data itself in a secure encrypted form.
While an attacker launching a replay attack can gain access to a server, attacks such as SMB reflection only require the operator of a specially crafted SMB server to send the NTLM log-in credentials of a log-in attempt at the operator's server back to the victim. This allows the attacker to gain access to the victim's PC and execute programs there. Successful attacks do require ports 139 and 445 to be accessible on the victim's machine, which will be the case if, for instance, file sharing and printer sharing are enabled on a local network.
Microsoft released patches to fix this special SMB vulnerability at the end of 2008, added another patch in connection with WinHTTP in early 2009 and subsequently also released patches for WinINet and Telnet. However, the vendor needed seven years to solve the problem; an earlier patch would have had extremely negative effects on network applications at the time.
Numerous other scenarios still remain unpatched – especially where non-Microsoft products are concerned. Marsh Ray said that affected products include WebKit and Firefox, which use NTLM for such tasks as proxy authentication and web page log-ins. An attempt by Mozilla to prevent replay attacks in Firefox caused NTLM authentication to malfunction on proxies earlier this year.
Trong khi Ray đã không khẳng định đã kiểm thử hay chưa một kịch bản tấn công thực tế, thì chuyên gia này đã chỉ ra cho H's associates tại Haise Security rằng NTLMv2 được sử dụng, ví dụ, khi kết hợp Outlook Web Access với một Máy chủ web IIS. Ray nói rằng khi những người sử dụng đăng nhập vào các tài khoản thư điện tử của họ thông qua một mạng công cộng Wi-Fi, thì những kẻ tấn công có thể sử dụng một cách tiềm tàng những quyền ủy nhiệm được truyền để tự mình đăng nhập. Nhiều giải pháp VPN và đăng nhập duy nhất hình như cũng hỗ trợ xác thực NTLM.
Làm khách tại Zdnet, Ray đã bày tỏ những lo lắng của mình rằng chỉ rất ít người hiểu được phạm vi đúng của vấn đề này. Theo ý kiến của nhà nghiên cứu, chỉ một số những người kiểm thử và lập trình viên hiểu biết sâu của các nhà cung cấp - và một ít cao thủ máy tính – đã hiểu được đầy đủ những hệ lụy. Ray nói rằng những biện pháp sửa chữa có sẵn hiện nay chỉ là chuyển sang các giao thức xác thực khác, như Kerberos, hoặc cho phép các tính năng an ninh bổ sung như Ký SMB (SMB Signing).
While Ray didn't confirm having tested an actual attack scenario, the expert did point out to The H's associates at heise Security that NTLMv2 is used, for instance, when combining Outlook Web Access with an Internet Information Server. Ray said that when users log into their email accounts via a public Wi-Fi network, attackers can potentially use the transmitted credentials to log in themselves. Many VPN and single sign-on solutions apparently also support NTLM authentication.
In a guest editorial at ZDnet, Ray expressed his concerns that only very few people understand the true scope of this problem. In the researcher's opinion, only some vendors' penetration testers and developers – and a few hackers – have fully understood the consequences. Ray said that the only currently available remedies are to switch to other authentication protocols, such as Kerberos, or to enable additional security features such as SMB Signing.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.