Software | Windows | Operační systémy

Všechny verze Windows obsahovaly vážnou bezpečnostní chybu. Microsoft ji opravil po sedmi měsících

Všechny verze Windows obsahovaly vážnou bezpečnostní chybu. Microsoft ji opravil po sedmi měsících

Součástí nejnovějších březnových záplat určených pro operační systémy z dílny Microsoftu je i oprava kritické chyby v ověřovacího protokolu CredSSP. Díky ní by mohli útočníci získat kontrolu nad počítači v lokální síti, přičemž jsou potenciálně ohroženy všechny verze Windows. Bližší informace o hrozbě zveřejnil portál Bleeping Computer.

Zranitelná je zejména vzdálená správa

Chybu s kódovým označením CVE-2018-0886 odhalil tým bezpečnostních expertů ze společnosti Preempt už loni v srpnu. Zranitelné jsou všechny podporované verze Windows (Vista, 7, 8.1, 10), jakož i serverové edice (2008, 2012, 2016).

Zdrojem problémů je protokol Credential Security Support Provider (CredSSP), který je zodpovědný za bezpečnou distribuci autentifikačních klíčů mezi klientem a serverem. Implementován je zpravidla jen v sítích typu intranet, respektive v sítích s doménovým řadičem. CredSSP využívají mimo jiné služby pro vzdálenou správu, jakými je Remote Desktop Protocol (RDP) či Windows Remote Management (WinRM). Obě služby jsou kvůli tomu náchylné k útokům.

Podle výzkumníků jde o „klasickou“ logickou chybu, která by mohla být zneužita v útocích typu MITM. Hacker musí mít v tomto případě přístup do vnitřní sítě, což může působit jako výrazné omezení potenciálního útoku.

Pravdou však je, že se útočník může dostat do lokální sítě s využitím různých technik i vzdáleně. Zmínit můžeme například nesprávné zabezpečení bezdrátové Wi-Fi sítě nebo nedávno odhalené problémy s protokolem WPA2 známé pod názvem Krack. Samostatnou kapitolou jsou všudypřítomná IoT zařízení, staré a neaktualizované síťové prvky a množství dalších nenápadných vstupů do sítě.

Po získání přístupu do cílové sítě útočník už jen vyčkává na datovou komunikaci obsahující CredSSP relaci. Specializovaný software tuto komunikaci zachytí a v případě, že oběť disponovala dostatečnými právy, tak může hacker spouštět libovolné příkazy. Jediným znamením, že něco není v pořádku, je chybová hláška. Ta se zobrazí nic netušícímu uživateli, který se pokusil spustit vzdálené připojení prostřednictvím protokolu RDP.

Hackerský nástroj bude zveřejněn

Základní informace o útoku byly zveřejněny v oficiální zprávě. Detailní podrobnosti včetně funkčního útočného nástroje budou zveřejněny příští týden na konferenci Black Hat Asia. Výzkumníci mimoto zveřejnili i názornou ukázku potenciálního útoku:

V levém horním rohu se nachází pracovní plocha legitimního uživatele, například IT pracovníka. Pod ním (vlevo dole) je okno reprezentující doménový řadič (server). Celá pravá část videa ukazuje činnost hackera, který již má přístup do vnitřní sítě.

Útočník spustí několik příkazů, jakož i samotný záškodnicky skript. Nic netušící IT pracovník (v levém horním okně) následně inicializuje vzdálenou správu přes RDP, přičemž záškodnicky skript v okamžiku převezme a upraví legitimní CredSSP relaci. IT pracovníkovi se sice zobrazí chybové hlášení, ale hacker už v tom momentě disponuje jeho právy.

Nakonec útočník spustí kalkulačku v prostředí doménového řadiče, respektive serveru. Upozorňujeme, že jde jen o názorný příklad. Skuteční hackeři s plným přístupem k serveru by mohly vykonávat jakoukoli škodlivou činnost.

Chyba už je opravená, aktualizujte

Dobrou zprávou je, že Microsoft již chybu opravil, i když jí to trvalo bezmála sedm měsíců. Bezpečnostní aktualizace se stala součástí pravidelných záplat, které byly v těchto dnech uvolněné.

Výzkumníci důrazně doporučují bezodkladnou instalaci záplat, jakož i aplikování dodatečných bezpečnostních opatření. Jistou formu ochrany představuje například zablokování portů, které jsou rezervované pro služby RDP a DCE / RPC. Zablokování portů je samozřejmě vhodné pouze za předpokladu, že není tato funkce využívána.

Diskuze (11) Další článek: Tohle Microsoft zabolí: Airbus končí s Office a zaměstnance přesune ke konkurenčnímu G Suite

Témata článku: Software, Microsoft, Windows, Windows 10, Operační systémy, KRACK, Chybová hláška, Lokální síť, Výzkumník, Kritická chyba, Vzdálené připojení, Předpoklad, Plný přístup, Příští týden, Skutečný hacker, Serverová edice, Názorný příklad, Window, Protokol, Doménový řadič, Specializovaný software, Legitimní uživatel, Podporovaná verze, Hackerský nástroj, Výrazné omezení


Určitě si přečtěte

Filmové pirátství asi jen tak nezmizí. Když už musíte, stahujte bezpečně v Seedru

Filmové pirátství asi jen tak nezmizí. Když už musíte, stahujte bezpečně v Seedru

** Máme HBO Go, máme Netflix... ** Ale stejně krademe filmy a seriály ** Když už musíte, stahujte torrenty bezpečně v Seedru

Jakub Čížek | 146

Teď už Chromium ovládne Windows 10 úplně. Microsoft dokončil WebView2

Teď už Chromium ovládne Windows 10 úplně. Microsoft dokončil WebView2

** Před dvěma lety se Microsoft zasnoubil s Chromem ** Nový Edge není zdaleka jejich jediné dítě ** Ještě důležitější je komponenta WebView2

Jakub Čížek | 50


Aktuální číslo časopisu Computer

Velký test fitness náramků

Levné záložní zdroje

Jak si zabezpečit domov

Nejlepší monitory na trhu