95% крупнейших компаний по всему миру подвержены риску из-за уязвимости в Active Directory

image

Теги: уязвимость, риск, атака, похищение

Слабое шифрование в Active Directory позволяет злоумышленникам без авторизации изменять пароли жертв и похищать их личности.

Как сообщили порталу SecurityLab эксперты из ИБ-компании Aorato, 95% крупнейших компаний, входящих в рейтинг Fortune 500, подвергаются потенциальной опасности из-за уязвимости в реализации службы каталогов Active Directory. По словам исследователей, несмотря на все меры безопасности, слабое шифрование позволяет злоумышленникам без авторизации изменять пароли жертв.

Проэксплуатировав уязвимость, с помощью нового пароля атакующий может выдавать себя за жертву и получать доступ к различным сервисам и контенту, требующим введения учетных данных жертвы, например, к Remote Desktop Protocol (RDP) Logon и Outlook Web Access (OWA).

К сожалению, несмотря на все протоколы безопасности, в журналах событий не фиксируется кража личности. Злоумышленник может осуществить подобную атаку незаметно для журнала событий, делая технологии SIEM и Big Data Security Analytics совершенно бесполезными.

«Миллионы представителей бизнеса слепо доверяют Active Directory как основе своей IT-инфраструктуры. К сожалению, правда состоит в том, что наивное доверие не оправдывает себя, и большинство представителей Fortune 500 уязвимы к утечке персональных и корпоративных данных, - сообщил вице-президент по исследованиям Aorato Тал Бери (Tal Be'ery). – До тех пор, пока компании не осознают угрозу, связанную с использованием Active Directory, и не создадут стратегию снижения рисков, мы будем и дальше наблюдать, как атакующие незаметно похищают информацию».

Эксперты из Aorato советуют представителям бизнеса:

· Обнаруживать аномалии в протоколах аутентификации.

· Идентифицировать атаки путем соотношения ненормального использования методов шифрования с контекстом, в котором используется личность жертвы.

· Принимать меры для сокращения поверхности атаки. Здесь необходимо помнить о том, что эти меры не устраняют атаку полностью и не ликвидируют ее первопричину. 


или введите имя

CAPTCHA
Страницы: 1  2  
15-07-2014 23:25:31
Продолжайте, сформируем полный эпикриз.
0 |
16-07-2014 08:11:42
А что тут продолжать, всё как обычно: поиски дешёвого пиара за счёт нападок на крупную компанию. Ну да, аутентификация при помощи старенького RC4 уязвима. Ну да, уязвимы все легаси-системы, которые или уже EOL, или почти EOL (2003 сервер). Но, во-первых, всё решаемо при помощи актуального, а не снятого с поддержки, ПО (виста+ и 2008+), во-вторых, MS тут ни при чём, ибо реализовывала вполне себе стандарт и не могла налепить туда что-то своё, и, наконец, в третьих, это вообще не дыра. Это не баг, это - следствие типичной для проектирования ПО в недалёком прошлом недальновидности. Они бы еще про уязвимую криптографию в OS/2 Merlin 1996 года рассказали, или про отсутствие защиты памяти ядра в DOS 3.30... а чё, по их логике - тоже баги ведь. Жизненный цикл софта, необходимость апдейтов, устаревание, закон Мура? Не, не слышали... Кому интересны методы защиты от уязвимости - прошу на http://technet.microsoft.com/library/9111e6f0-fb7f-4340-b87a-ab941978efe1.aspx тут эта тема вполне раскрыта.
0 |
16-07-2014 09:23:15
Не подскажете, а кто автор данного "стандарта", который был реализован?
0 |
16-07-2014 09:01:36
Хотя это довольно серьезная брешь в системе безопасности, я бы не назвал это уязвимостью, т.к. для ее эксплуатирования необходимо запустить мимикатц или wce, работающие под системной учеткой. Вот тут эксплуатируется гораздо более серьезная и нераспиаренная уязвимость, позволяющая расшировывать любой секрет DPAPI (пароли браузеров и почты, сетевые и беспроводные пароли и т.д.) любого пользователя Active Directory без знания пароля владельца: http://www.passcape.com/index.php?setLang=6§ion=forum&cmd=thread&id=271
0 |
16-07-2014 15:42:37
Есть ощущение, что какие-то дядьки из MIT, но не удивлюсь, если это совместная работа. Копирайт основной стоит IETF, но кто конкретно - это надо долго гуглить, а мне с планшета (в командировке я) это не очень удобно. Попробуйте сами поискать, взяв за основу людей из заголовков: в конце концов, гугл у нас с Вами одинаковый. Текст стандарта - https://datatracker.ietf.org/doc/rfc4120/
0 |
16-07-2014 15:43:28
Секбаш, а секбаш, ты совсем поломался. Под комментами не отвечаешь, уведомления поломанные приходят...
0 |
Страницы: 1  2