Podczas prelekcji wygłoszonej na zakończonej w ubiegłym tygodniu konferencji Usenix programista Marsh Ray ponownie zwrócił uwagę na znany od dawna, ale niedoceniany problem w świecie Windows. Chodzi o to, że w wielu sytuacjach uwierzytelnianie za pomocą protokołu NTLMv2 nie jest bezpieczne.
Potencjalny napastnik może bowiem przechwycić przekazywane dane logowania (credentials) i posłużyć się nimi do uwierzytelniania siebie na serwerach bez znajomości hasła. W tym wypadku napastnicy wykorzystują okoliczność, że NTLMv2 wprawdzie przekazuje dane w postaci zabezpieczonej kryptograficznie, ale mechanizm ten nie jest chroniony przed tak zwanymi atakami NTLM Replay i SMB Reflection.
O ile ataki NTLM Replay pozwalają napastnikowi uzyskać dostęp do serwera, o tyle w przypadku ataków typu SMB Reflection operator zmanipulowanego serwera SMB po prostu odsyła dane NTLM Login Credentials należące do nazwy użytkownika, której próbowano wcześniej użyć do logowania na jego serwerze. W ten sposób włamywacz łączy się z komputerem ofiary i jest w stanie uruchamiać na nim programy. Do powodzenia ataku niezbędne jest jednak otwarcie portów 139 i 445 - z taką sytuacją mamy do czynienia chociażby przy włączonym udostępnianiu plików i drukarek w sieci LAN.
Microsoft wyeliminował tę lukę pod koniec 2008 roku; inną usterkę, związaną z interfejsem WinHTTP koncern usunął na początku 2009 roku, a później dodatkowo przygotował łaty dla komponentów WinINet oraz Telnet. Firma potrzebowała jednak aż siedmiu lat na rozwiązanie problemu; wcześniejsza łata wpływała negatywnie na aplikacje sieciowe.
Wciąż pozostaje wiele nieuwzględnionych scenariuszy ataku - szczególnie jeśli chodzi o produkty niebędące dziełem Microsoftu. Zdaniem Marsha Raya należą do nich choćby WebKit i Firefox, które - przykładowo - wykorzystują NTLM do uwierzytelniania serwerów proxy lub logowania na stronach WWW. Podjęta przez Mozillę próba zablokowania ataków Replay w Firefoksie doprowadziła na początku roku do tego, że uwierzytelnianie NTLM na serwerach pośredniczących przestało działać.
Ray w rozmowie z heise Security nie potwierdził wprawdzie, by sam wypróbował konkretny scenariusz ataku, za to podkreślił, że protokół NTLMv2 znajduje często zastosowanie (na przykład w kombinacji usługi Outlook Web Access z Internet Information Serverem). Gdy użytkownik zaloguje się wówczas za pośrednictwem publicznej sieci WLAN do własnego konta e-mailowego, potencjalny napastnik może wykorzystać przekazywane dane Credentials do zalogowania tam siebie. Poza tym wiele systemów VPN stosuje uwierzytelnianie NTLM.
W gościnnym wpisie w serwisie ZDnet ekspert wyraża ubolewanie z powodu, że tylko nieliczni rozumieją skalę problemu. Ray odnosi wrażenie, że tylko specjaliści od testów penetracyjnych i programiści z kilku firm (oraz niektórzy crackerzy) są w pełni świadomi ewentualnych konsekwencji. Jego zdaniem w tej chwili odpowiednią ochronę zapewni tylko przesiadka na inne protokoły uwierzytelniania, takie jak Kerberos, albo włączenie dodatkowych funkcji zabezpieczających typu SMB Signing.
Ukryj panel
