Опасность уязвимости Badlock оказалась слишком преувеличенной

image

Теги: Microsoft, уязвимость, атака

Проблема не является критической, однако представляет угрозу конфиденциальности данных.

В конце прошлого месяца ИБ-эксперты из команды разработчиков Samba сообщили об опасной уязвимости Badlock, затрагивающей практически все версии Windows и Samba. Опасаясь, что злоумышленники создадут эксплоит до выхода обновлений, исследователи отказались предоставить о ней какие-либо сведения и пообещали раскрыть подробности 12 апреля.

Уязвимость казалась по-настоящему серьезной – не зря же она получила название, логотип и собственный сайт, а исследователи даже посчитали нужным предупредить о ней заранее. Во вторник, 12 апреля, Microsoft выпустила плановые обновления для своих продуктов. Как оказалось, значимость Badlock была слишком преувеличена. Уязвимость отнюдь не является критической (Microsoft обозначила ее как важную) и позволяет злоумышленнику не удаленно выполнить код или повысить привилегии, а осуществить атаку «человек посередине».

Уязвимость затрагивает компонент Distributed Computing Environment/Remote Procedure Call (DCE/RPC), присутствующий практически в каждой версии ОС Windows и Linux и использующийся администраторами для доступа к службе каталогов Active Directory. Поскольку Active Directory обеспечивает соблюдение политик безопасности и содержит пароли и другие важные данные, она является первым объектом, к которому получают доступ хакеры при проникновении в сеть.

С помощью криптографических систем DCE/RPC способен обеспечивать безопасность соединения между уделенным компьютером администратора и сервером Active Directory. DCE/RPC подтверждает подлинность этих сторон и шифрует передаваемые данные. То есть, проникший в корпоративную сеть злоумышленник не может просматривать или изменять данные в Active Directory.

Если рассматривать DCE/RPC как «TLS для администраторов», Badlock можно сравнить с уязвимостью gotofail, позволявшей обойти шифрование TLS на миллионах Mac. Как и gotofail, Badlock может быть незаметно проэксплуатирована для мониторинга проходящего по сети трафика.

Согласно уведомлению компании Red Hat, уязвимость затрагивает инфраструктуру Active Directory с использованием Samba (свободной открытой реализации протокола SMB/CIFS). «Злоумышленник может осуществить атаку «человек посередине» и перехватить трафик, передаваемый по DCE/RPC между членом домена и контроллером домена, выдавая себя за клиент и получая привилегии учетной записи аутентифицированного пользователя. Атакующий может просматривать и модифицировать секретную информацию в Active Directory, в том числе хеши паролей пользователей, или закрывать важные сервисы», - говорится в уведомлении.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.