Брешь в Windows позволяет получить доступ к сети после удаления или отключения учетной записи

image

Теги: Kerberos, Windows, уязвимость

Исследователи обнаружили уязвимость, которая позволяет злоумышленникам использовать ресурсы сети в течение 10 часов после удаления скомпрометированной учетной записи.

Как сообщает компания Aorato, которая продает решения по обеспечению безопасности корпоративных сетей, архитектура Active Directory в Windows подвержена уязвимости, позволяющей злоумышленнику заполучить доступ к корпоративным данным в течение 10 часов (максимальное время жизни билета пользователя) после удаления или отключения учетной записи.

Отключенные учетные записи представляют риск для компаний и дают преимущества потенциальным хакерам, которые охотятся за корпоративными секретами. Проблема доступности ресурсов в течение 10 часов после удаления или отключения учетной записи вызвана использованием протокола Kerberos для аутентификации, который полагается исключительно на билеты.

Поскольку сверка данных валидности билета не осуществляется, удаленный или отключенный пользователь может использовать свой билет Kerberos для обращения к сетевым ресурсам. Таким образом, на практике не представляется возможным осуществить одно из требований стандарта PCI DSS о немедленном отзыве привилегий на доступ к ресурсам для удаленных учетных записей.

Более того, отследить неправомерный доступ к ресурсам для удаленной учетной записи через журналы событий и различные SIEM решения проблемно, поскольку Windows отдельно не выделяет события использования билетов Kerberos.


или введите имя

CAPTCHA
qwerty
06-05-2014 13:44:02
Windows снова оказалась дырявой. Кто бы мог подумать?
0 |
KO
06-05-2014 14:33:35
Windows то тут при чем? Это фича by designe. Причем протокола. Поставь время жизни билета 1 сек - и вперед. P.S. Как Вы себе это представляете - при получении IP пакета от клиента, каждый раз надо лезть на сервер авторизации для проверки валидности билета?
0 |
Bill
06-05-2014 14:28:31
Да что это за дырка. Для рядового пользователя это абсолютно не критично.
0 |
Для рядового пользователя любая дырка не критична А вот для тех, кто знает в них толк - вполне себе так...
0 |
Олёша
14-05-2014 00:37:14
та не, херня. если тебе нужны данные, зачем дожидаться, пока отключат учетку? другое дело, что если тебе допустим, нужно запустить процесс, но все равно, в грамотно настроенной системе останется информация о старте от чьего имени он был запущен..
0 |
Олёша
14-05-2014 00:40:39
горрраздо грамотнее, в процессе работы в компании, попросить сделать робота, для, скажем, запуска заданий на сервере. Дать роботу привелегии, после увольнения про робота, скорее всего забудут, так что он сможет по таймеру выполнить все, что угодно. Только все равно, потом поймут, что за робот и откуда ))) но может быть уже слииииишком поздно.. *смех в стиле сумасшедшего профессора*
0 |