Контакты
Подписка
МЕНЮ
Контакты
Подписка

Опасность уязвимости Badlock оказалась слишком преувеличенной

Опасность уязвимости Badlock оказалась слишком преувеличенной

Опасность уязвимости Badlock оказалась слишком преувеличенной


14.04.2016



 

В конце прошлого месяца ИБ-эксперты из команды разработчиков Samba сообщили об опасной уязвимости Badlock, затрагивающей практически все версии Windows и Samba. Опасаясь, что злоумышленники создадут эксплоит до выхода обновлений, исследователи отказались предоставить о ней какие-либо сведения и пообещали раскрыть подробности 12 апреля.

 Уязвимость казалась по-настоящему серьезной – не зря же она получила название, логотип и собственный сайт, а исследователи даже посчитали нужным предупредить о ней заранее. Во вторник, 12 апреля, Microsoft выпустила плановые обновления для своих продуктов. Как оказалось, значимость Badlock была слишком преувеличена. Уязвимость отнюдь не является критической (Microsoft обозначила ее как важную) и позволяет злоумышленнику не удаленно выполнить код или повысить привилегии, а осуществить атаку "человек посередине".

Уязвимость затрагивает компонент Distributed Computing Environment/Remote Procedure Call (DCE/RPC), присутствующий практически в каждой версии ОС Windows и Linux и использующийся администраторами для доступа к службе каталогов Active Directory. Поскольку Active Directory обеспечивает соблюдение политик безопасности и содержит пароли и другие важные данные, она является первым объектом, к которому получают доступ хакеры при проникновении в сеть.

 С помощью криптографических систем DCE/RPC способен обеспечивать безопасность соединения между уделенным компьютером администратора и сервером Active Directory. DCE/RPC подтверждает подлинность этих сторон и шифрует передаваемые данные. То есть, проникший в корпоративную сеть злоумышленник не может просматривать или изменять данные в Active Directory.

 Если рассматривать DCE/RPC как "TLS для администраторов", Badlock можно сравнить с уязвимостью gotofail, позволявшей обойти шифрование TLS на миллионах Mac. Как и gotofail, Badlock может быть незаметно проэксплуатирована для мониторинга проходящего по сети трафика.

 Согласно уведомлению компании Red Hat, уязвимость затрагивает инфраструктуру Active Directory с использованием Samba (свободной открытой реализации протокола SMB/CIFS). "Злоумышленник может осуществить атаку "человек посередине" и перехватить трафик, передаваемый по DCE/RPC между членом домена и контроллером домена, выдавая себя за клиент и получая привилегии учетной записи аутентифицированного пользователя. Атакующий может просматривать и модифицировать секретную информацию в Active Directory, в том числе хеши паролей пользователей, или закрывать важные сервисы", - говорится в уведомлении.

Источник:
securitylab.ru