12/07/2017

Patch corrige nova falha crítica do Windows

Patch da Microsoft corrige a vulnerabilidade CVE-2017-8563. Essa é uma falha altamente explorável que permite tomar controle das máquinas mesmo sem credenciais administrativas. O WannaCry e o Petya nos mostraram o quão grave isso pode ser.

Duas vulnerabilidades críticas de “Zero Day” foram descobertas nos protocolos de segurança do Windows NTLM por pesquisadores da Preempt. As vulnerabilidades manipulam o protocolo de forma maliciosa, permitindo que invasores criem contas de administrador de domínio.

A primeira falha do NTLM corrigida pela Microsoft (CVE-2017-8563), permitia um ataque de retransmissão NTLM, onde um invasor podia criar uma sessão paralela com um servidor de destino aproveitando o hash de senha criptografada de um usuário para autenticar via NTLM e infectar um sistema de destino com malware.

O protocolo LDAP não está protegido contra ataques de retransmissão NTLM. Desta forma, um invasor com privilégios de sistema, pode transmitir credenciais para o controlador de domínio, onde eles podem criar uma conta de domínio e assumir a rede inteira.

O patch da Microsoft corrige esta vulnerabilidade, incorporando aprimoramentos aos protocolos de autenticação. Para tornar a autenticação LDAP mais segura, a Microsoft também aconselha os administradores a criar um registro LdapEnforceChannelBinding em um controlador de domínio, procedimento descrito no link: goo.gl/Le9bHc.

Há muitas maneiras pelas quais os hackers podem acessar credenciais privilegiadas, desde o phishing até o acesso ao dispositivo físico. Toda conexão a uma máquina infectada pode resultar em um ataque de rede completo. Todas as versões do Windows Server são vulneráveis.

O segundo problema encontrado é considerado uma falha de design, portanto não haverá patch para corrigi-la. Ela afeta o modo Remote Desktop Protocol (RDP) Restrito-Admin que permite que usuários se conectem a uma máquina remota sem fornecer sua senha à máquina remota.

Os pesquisadores do Preempt descobriram que os ataques NTLM, como a retransmissão de credenciais e o cracking de senha, podem ser usados contra o RDP Restricted-Admin, colocando em risco ascredenciais de qualquer credencial privilegiada utilizada para acessar máquinas através do RDP. Neste sentido, a primeira vulnerabilidade, torna a segunda vulnerabilidade ainda mais perigosa.

Aplicar patchs, apesar de essencial, não garante que a empresa esteja imune as ameaças. É recomendado que além dos patches e configurações recomendadas aplicados no ambiente, as empresas também mantenham um controle de suas contas privilegiadas sabendo quem as criou, quando as criou e se elas realmente devem ter os privilégios concedidos.