Two new zero-day vulnerabilities in the windows NTLM

นักวิจัยจาก Preempt ค้นพบ zero-day vulnerabilities ตัวใหม่ จำนวน 2 ช่องโหว่ ในโมดูล NTLM ของ Windows โดยช่องโหว่ดังกล่าวเกิดจากการจัดการ NTML ไม่ถูกต้อง ซึ่งช่องโหว่นี้ นำไปสู่การโจมตีลักษณะต่างๆ เช่น การสร้าง domain administrator accounts ขึ้น , และสามารถ Remote RDP เป็น admin mode ได้

ช่องโหว่แรก CVE-2017-8563 Unprotected LDAP from NTLM relay หากถูกโจมตีได้สำเร็จ ผู้โจมตีจะสามารถเพิ่มระดับสิทธิ์ตัวเองเป็น SYSTEM ได้ ซึ่งสามารถจัดการ NTLM ที่มีการร้องขอเข้ามายังระบบนั้นๆ สามารถแก้ไข ปรับเปลี่ยน sessionsได้ ทั้งนี้ ยังสามารถใช้งาน LDAP ในการ อัพเดทโดเมนต่างๆ โดยสิทธิ์ NTLM user ได้อีกด้วย

ช่องโหว่ที่สองเกี่ยวข้องกับ RDP Restricted-Admin mode เมื่อเปิดทำารใช้งานโหมดนี้ user จะสามารถเชื่อมต่อรีโมทคอมพิวเตอร์ไปยังเป้าหมายโดยไม่ต้องใส่พาสเวิดใดๆทั้งนั้น ซึ่งมีความเสี่ยงสูงที่จะถูกโจมตีผ่านระบบ RDP

ที่มา : latesthackingnews

Read more