Software | Windows | Operační systémy

Všechny verze Windows obsahovaly vážnou bezpečnostní chybu. Microsoft ji opravil po sedmi měsících

Součástí nejnovějších březnových záplat určených pro operační systémy z dílny Microsoftu je i oprava kritické chyby v ověřovacího protokolu CredSSP. Díky ní by mohli útočníci získat kontrolu nad počítači v lokální síti, přičemž jsou potenciálně ohroženy všechny verze Windows. Bližší informace o hrozbě zveřejnil portál Bleeping Computer.

Zranitelná je zejména vzdálená správa

Chybu s kódovým označením CVE-2018-0886 odhalil tým bezpečnostních expertů ze společnosti Preempt už loni v srpnu. Zranitelné jsou všechny podporované verze Windows (Vista, 7, 8.1, 10), jakož i serverové edice (2008, 2012, 2016).

Zdrojem problémů je protokol Credential Security Support Provider (CredSSP), který je zodpovědný za bezpečnou distribuci autentifikačních klíčů mezi klientem a serverem. Implementován je zpravidla jen v sítích typu intranet, respektive v sítích s doménovým řadičem. CredSSP využívají mimo jiné služby pro vzdálenou správu, jakými je Remote Desktop Protocol (RDP) či Windows Remote Management (WinRM). Obě služby jsou kvůli tomu náchylné k útokům.

Podle výzkumníků jde o „klasickou“ logickou chybu, která by mohla být zneužita v útocích typu MITM. Hacker musí mít v tomto případě přístup do vnitřní sítě, což může působit jako výrazné omezení potenciálního útoku.

Pravdou však je, že se útočník může dostat do lokální sítě s využitím různých technik i vzdáleně. Zmínit můžeme například nesprávné zabezpečení bezdrátové Wi-Fi sítě nebo nedávno odhalené problémy s protokolem WPA2 známé pod názvem Krack. Samostatnou kapitolou jsou všudypřítomná IoT zařízení, staré a neaktualizované síťové prvky a množství dalších nenápadných vstupů do sítě.

Po získání přístupu do cílové sítě útočník už jen vyčkává na datovou komunikaci obsahující CredSSP relaci. Specializovaný software tuto komunikaci zachytí a v případě, že oběť disponovala dostatečnými právy, tak může hacker spouštět libovolné příkazy. Jediným znamením, že něco není v pořádku, je chybová hláška. Ta se zobrazí nic netušícímu uživateli, který se pokusil spustit vzdálené připojení prostřednictvím protokolu RDP.

Hackerský nástroj bude zveřejněn

Základní informace o útoku byly zveřejněny v oficiální zprávě. Detailní podrobnosti včetně funkčního útočného nástroje budou zveřejněny příští týden na konferenci Black Hat Asia. Výzkumníci mimoto zveřejnili i názornou ukázku potenciálního útoku:

V levém horním rohu se nachází pracovní plocha legitimního uživatele, například IT pracovníka. Pod ním (vlevo dole) je okno reprezentující doménový řadič (server). Celá pravá část videa ukazuje činnost hackera, který již má přístup do vnitřní sítě.

Útočník spustí několik příkazů, jakož i samotný záškodnicky skript. Nic netušící IT pracovník (v levém horním okně) následně inicializuje vzdálenou správu přes RDP, přičemž záškodnicky skript v okamžiku převezme a upraví legitimní CredSSP relaci. IT pracovníkovi se sice zobrazí chybové hlášení, ale hacker už v tom momentě disponuje jeho právy.

Nakonec útočník spustí kalkulačku v prostředí doménového řadiče, respektive serveru. Upozorňujeme, že jde jen o názorný příklad. Skuteční hackeři s plným přístupem k serveru by mohly vykonávat jakoukoli škodlivou činnost.

Chyba už je opravená, aktualizujte

Dobrou zprávou je, že Microsoft již chybu opravil, i když jí to trvalo bezmála sedm měsíců. Bezpečnostní aktualizace se stala součástí pravidelných záplat, které byly v těchto dnech uvolněné.

Výzkumníci důrazně doporučují bezodkladnou instalaci záplat, jakož i aplikování dodatečných bezpečnostních opatření. Jistou formu ochrany představuje například zablokování portů, které jsou rezervované pro služby RDP a DCE / RPC. Zablokování portů je samozřejmě vhodné pouze za předpokladu, že není tato funkce využívána.

Diskuze (11) Další článek: Tohle Microsoft zabolí: Airbus končí s Office a zaměstnance přesune ke konkurenčnímu G Suite

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , , ,