Experts Detail A Recent Remotely Exploitable Windows Vulnerability
ظهرت المزيد من التفاصيل حول ثغرة أمنية تتجاوز ميزة الأمان في Windows NT LAN Manager (NTLM) والتي تناولتها Microsoft كجزء من تحديثات Patch الثلاثاء الشهرية في وقت سابق من هذا الشهر.
تم وصف الخلل ، الذي تم تتبعه على أنه CVE-2021-1678 (درجة CVSS 4.3)، بأنه عيب "قابل للاستغلال عن بعد remotely exploitable" تم العثور عليه في مكون ضعيف مرتبط بمكدس الشبكة Network Stack، على الرغم من أن التفاصيل الدقيقة للعيب ظلت مجهولة.
الآن وفقًا للباحثين من Crowdstrike، فإن الخطأ الأمني، إذا تُرك دون تصحيح، يمكن أن يسمح لممثل سيء بتنفيذ التعليمات البرمجية عن بُعد عبر مرحل NTLM.
قال الباحثون في تحذير يوم الجمعة: "تسمح هذه الثغرة للمهاجم بنقل جلسات مصادقة NTLM إلى جهاز مهاجم، واستخدام واجهة MSRPC للتخزين المؤقت للطابعة لتنفيذ التعليمات البرمجية عن بُعد على الجهاز المهاجم".
تعد هجمات ترحيل NTLM نوعًا من هجمات Man-in-the-middle (MitM) التي تسمح عادةً للمهاجمين الذين لديهم وصول إلى شبكة باعتراض حركة مرور المصادقة المشروعة بين العميل والخادم وترحيل طلبات المصادقة التي تم التحقق من صحتها من أجل الوصول إلى خدمات الشبكة .
تم وصف الخلل ، الذي تم تتبعه على أنه CVE-2021-1678 (درجة CVSS 4.3)، بأنه عيب "قابل للاستغلال عن بعد remotely exploitable" تم العثور عليه في مكون ضعيف مرتبط بمكدس الشبكة Network Stack، على الرغم من أن التفاصيل الدقيقة للعيب ظلت مجهولة.
الآن وفقًا للباحثين من Crowdstrike، فإن الخطأ الأمني، إذا تُرك دون تصحيح، يمكن أن يسمح لممثل سيء بتنفيذ التعليمات البرمجية عن بُعد عبر مرحل NTLM.
قال الباحثون في تحذير يوم الجمعة: "تسمح هذه الثغرة للمهاجم بنقل جلسات مصادقة NTLM إلى جهاز مهاجم، واستخدام واجهة MSRPC للتخزين المؤقت للطابعة لتنفيذ التعليمات البرمجية عن بُعد على الجهاز المهاجم".
تعد هجمات ترحيل NTLM نوعًا من هجمات Man-in-the-middle (MitM) التي تسمح عادةً للمهاجمين الذين لديهم وصول إلى شبكة باعتراض حركة مرور المصادقة المشروعة بين العميل والخادم وترحيل طلبات المصادقة التي تم التحقق من صحتها من أجل الوصول إلى خدمات الشبكة .
قد تسمح عمليات الاستغلال الناجحة أيضًا للخصم بتشغيل التعليمات البرمجية عن بُعد على جهاز يعمل بنظام Windows أو الانتقال بشكل جانبي على الشبكة إلى أنظمة مهمة مثل الخوادم التي تستضيف وحدات تحكم المجال من خلال إعادة استخدام بيانات اعتماد NTLM الموجهة إلى الخادم المعرض للخطر.
بينما يمكن إحباط مثل هذه الهجمات من خلال توقيع SMB و LDAP وتشغيل الحماية المحسّنة للمصادقة (EPA)، يستغل CVE-2021-1678 نقطة ضعف في MSRPC (Microsoft Remote Procedure Call) مما يجعله عرضة لهجوم الترحيل relay attack.
على وجه التحديد، وجد الباحثون أن IRemoteWinspool- واجهة RPC لإدارة التخزين المؤقت للطابعة عن بُعد- يمكن الاستفادة منها لتنفيذ سلسلة من عمليات RPC وكتابة ملفات عشوائية على جهاز مستهدف باستخدام جلسة NTLM تم اعتراضها.
قالت Microsoft، في وثيقة دعم، إنها عالجت الثغرة الأمنية من خلال "زيادة مستوى مصادقة RPC وإدخال سياسة جديدة ومفتاح تسجيل للسماح للعملاء بتعطيل أو تمكين وضع الإنفاذ على جانب الخادم لزيادة مستوى المصادقة".
بالإضافة إلى تثبيت تحديث Windows في 12 يناير، حثت الشركة المؤسسات على تشغيل وضع Enforcement على خادم الطباعة، وهو إعداد تقول إنه سيتم تمكينه على جميع أجهزة Windows افتراضيًا بدءًا من 8 يونيو 2021.
بينما يمكن إحباط مثل هذه الهجمات من خلال توقيع SMB و LDAP وتشغيل الحماية المحسّنة للمصادقة (EPA)، يستغل CVE-2021-1678 نقطة ضعف في MSRPC (Microsoft Remote Procedure Call) مما يجعله عرضة لهجوم الترحيل relay attack.
على وجه التحديد، وجد الباحثون أن IRemoteWinspool- واجهة RPC لإدارة التخزين المؤقت للطابعة عن بُعد- يمكن الاستفادة منها لتنفيذ سلسلة من عمليات RPC وكتابة ملفات عشوائية على جهاز مستهدف باستخدام جلسة NTLM تم اعتراضها.
قالت Microsoft، في وثيقة دعم، إنها عالجت الثغرة الأمنية من خلال "زيادة مستوى مصادقة RPC وإدخال سياسة جديدة ومفتاح تسجيل للسماح للعملاء بتعطيل أو تمكين وضع الإنفاذ على جانب الخادم لزيادة مستوى المصادقة".
بالإضافة إلى تثبيت تحديث Windows في 12 يناير، حثت الشركة المؤسسات على تشغيل وضع Enforcement على خادم الطباعة، وهو إعداد تقول إنه سيتم تمكينه على جميع أجهزة Windows افتراضيًا بدءًا من 8 يونيو 2021.
