Bezpečnostné varovanie V20180502-01
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP WHITE |
CVSS Skóre |
9.6 |
Identifikátor |
Vulnerability Allows Stealing Windows Credentials via PDF and SMB |
Popis |
Výskumníci spoločnosti Check Point informovali o bezpečnostnej zraniteľnosti, ktorá sa nachádza v NT LAN Manager (NTLM) súčasti systémov Windows. Bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému neautentifikovanému útočníkovi prostredníctvom podvrhnutia špeciálne upraveného .pdf súboru získať prihlasovacie údaje k systému Windows vo forme NTLM hashov. Existujú verejne dostupné nástroje, ktoré umožňujú z NTLM hashov získať prihlasovacie údaje k systému Windows. Uvedená zraniteľnosť sa týka všetkých PDF prehliadačov pre OS Windows. Na to, aby z počítača unikli prístupové údaje, stačí otvoriť špeciálne pripravený .pdf dokument. Únik informácií je automatický, nevyžaduje žiadne potvrdenie od používateľa a nie je nijako indikovaný na obrazovke. V súčasnosti je verejne dostupný nástroj umožňujúci vytváranie škodlivých .pdf súborov. |
Dátum prvého zverejnenia varovania |
26.04.2018 |
CVE |
– |
Zasiahnuté systémy |
Windows 10 Windows Server 2016 Windows verzie používajúce NT LAN Manager (NTLM) |
Následky |
Neoprávnený prístup k citlivým údajom, Neoprávnený prístup do systému |
Odporúčania |
Administrátorom zasiahnutých systémov odporúčame zablokovať NTLM Single Sign On (SSO) autentifikáciu v registroch MS Windows. Postup spočíva vo vytvorení novej hodnoty vo Windows registroch, pomenovanej „EnterpriseAccountSSO“ lokalizovanej na adrese HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0, pričom jej hodnotu nastavíte na „0“ – zneprístupnenie SSO pre verejné zdroje (internet). Nastavenie povolí SSO, ak je zdroj súkromný (resp. z intranetovej siete) a zablokuje SSO, ak je zdroj bližšie nešpecifikovaný. Následne je nevyhnutné nastaviť Network Isolation Policy (NIP) tak, aby boli správne zadefinované súkromné, interné (intranetové) a externé siete. Na základe správneho nastavenia NIP je následne aplikované vyššie popísané pravidlo blokovania SSO. Ďalšou možnosťou je aplikácia firewallových pravidiel s cieľom blokovania SMB protokolu pre externé spojenia. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. |
« Späť na zoznam