Xác thực dưới Windows: Một vấn đề an ninh tiềm ẩn

Authenticationunder Windows: A smouldering security problem

16 August 2010, 14:58

Theo:http://www.h-online.com/security/news/item/Authentication-under-Windows-A-smouldering-security-problem-1059422.html

Bài được đưa lênInternet ngày: 16/08/2010

Lờingười dịch: Nếu bạn sử dụng giao thức NTLMv2 để xácthực trong các hệ thống Windows, thì bạn có thể gặprủi ro bất kỳ lúc nào, trừ phi bạn chuyển sang nhữnggiao thức khác, như Kerberos hoặc sử dụng SMB Signing.

Nói tại hội nghịUSENIX, kết thúc vào cuối tuần trước, lập trình viênMarsh Ray đã nhấn mạnh tới một lỗi nổi tiếng và cũmà tiếp tục được đánh giá thấp trong thế giớiWindows: các cơ chế xác thực liên quan tới NTLMv2 thườnglà không an ninh. Những kẻ tấn công có thể can thiệpmột cách tiềm năng các quyền ủy nhiệm được truyềntrong lúc đăng nhập và sử dụng sai chúng để đăng nhậpvào bản thân các máy chủ – mà không biết mật khẩu.Những kẻ tấn công khai thác một sự yếu kém trongNTLMv2, một giao thức bị tổn thương đối với nhữngcuộc tấn công “chơi lại” và “phản ứng lại” mặcdù nó truyền bản thân các dữ liệu ở một dạng đượcmã hóa không an ninh.

Trong khi một kẻ tấncông tung ra một cuộc tấn công phản ứng lại có thểgiành được sự truy cập tới một máy chủ, thì cáccuộc tấn công như phản ứng lại SMB chỉ đòi hỏingười vận hành máy chủ SMB bị lừa đảo một cách đặcbiệt để gửi đi các quyền ủy nhiệm đăng nhập NTLMcủa một mưu toan đăng nhập tại máy chủ của ngườivận hành ngược tới nạn nhân. Điều này cho phép kẻtấn công giành được sự truy cập tới máy tính cá nhâncủa nạn nhân và chạy các chương trình ở đó. Các cuộctấn công thành công đòi hỏi các cổng 139 và 445 là truycập được trên máy của nạn nhân, mà sẽ có vấn đềnếu, ví dụ, việc chia sẻ tệp và máy in được phéptrong một mạng cục bộ.

Microsoft đã tung racác bản vá để sửa chỗ bị tổn thương SMB đặc biệtnày vào cuối năm 2008, đã bổ sung bản vá khác có liênquan tới WinHTTP vào đầu năm 2009 và sau đó cũng đã tungra các bản vá cho WinINet và Telnet. Tuy nhiên, nhà cung cấpđã cần 7 năm để giải quyết vấn đề này; một bảnvá sớm hơn có thể đã có những ảnh hưởng cực kỳtiêu cực đối với các ứng dụng mạng khi đó.

Hàng loạt các kịchbản khác vẫn còn duy trì được cập nhật – đặc biệtnơi mà những sản phẩm không phải của Microsoft đượckết nối. Marsh Ray nói rằng những sản phẩm bị ảnhhưởng có WebKit và Firefox, mà chúng sử dụng NTLM chonhững tác vụ như vậy như là sự xác thực ủy quyềnvà các đăng nhập trang web. Một dự định của Mozilla đểngăn ngừa các cuộc tấn công chơi lại trong Firefox đãgây ra cho xác thực NTLM hoạt động không đúng trên cácmáy ủy quyền đầu năm nay.

Speakingat the USENIXconference, which ended last week, developer Marsh Ray highlightedan old and known flaw that continues to be underestimated in theWindows world: authentication mechanisms involving NTLMv2 are ofteninsecure. Attackers can potentially intercept the credentialstransmitted during log-in and misuse them to log into the serversthemselves – without knowing the password. The attackers exploit aweakness in NTLMv2, a protocol which is vulnerable to "replay"and "reflection" attacks although it does transmit the dataitself in a secure encrypted form.

Whilean attacker launching a replay attack can gain access to a server,attacks such as SMB reflection only require the operator of aspecially crafted SMB server to send the NTLM log-in credentials of alog-in attempt at the operator's server back to the victim. Thisallows the attacker to gain access to the victim's PC and executeprograms there. Successful attacks do require ports 139 and 445 to beaccessible on the victim's machine, which will be the case if, forinstance, file sharing and printer sharing are enabled on a localnetwork.

Microsoftreleased patches to fix this specialSMB vulnerability at the end of 2008, added another patch inconnection with WinHTTPin early 2009 and subsequently also released patches for WinINet andTelnet. However, the vendor neededseven years to solve the problem; an earlier patch would have hadextremely negative effects on network applications at the time.

Numerousother scenarios still remain unpatched – especially whe-renon-Microsoft products are concerned. Marsh Ray said that affectedproducts include WebKit and Firefox, which use NTLM for such tasks asproxy authentication and web page log-ins. An attempt by Mozilla toprevent replay attacks in Firefox caused NTLM authentication tomalfunctionon proxies earlier this year.

Trong khi Ray đã khôngkhẳng định đã kiểm thử hay chưa một kịch bản tấncông thực tế, thì chuyên gia này đã chỉ ra cho H'sassociates tại Haise Security rằng NTLMv2 được sử dụng,ví dụ, khi kết hợp Outlook Web Access với một Máy chủweb IIS. Ray nói rằng khi những người sử dụng đăng nhậpvào các tài khoản thư điện tử của họ thông qua mộtmạng công cộng Wi-Fi, thì những kẻ tấn công có thể sửdụng một cách tiềm tàng những quyền ủy nhiệm đượctruyền để tự mình đăng nhập. Nhiều giải pháp VPN vàđăng nhập duy nhất hình như cũng hỗ trợ xác thựcNTLM.

Làm khách tại Zdnet,Ray đã bày tỏ những lo lắng của mình rằng chỉ rấtít người hiểu được phạm vi đúng của vấn đề này.Theo ý kiến của nhà nghiên cứu, chỉ một số nhữngngười kiểm thử và lập trình viên hiểu biết sâu củacác nhà cung cấp - và một ít cao thủ máy tính – đãhiểu được đầy đủ những hệ lụy. Ray nói rằngnhững biện pháp sửa chữa có sẵn hiện nay chỉ làchuyển sang các giao thức xác thực khác, như Kerberos, hoặccho phép các tính năng an ninh bổ sung như Ký SMB (SMBSigning).

WhileRay didn't confirm having tested an actual attack scenario, theexpert did point out to The H's associates at heise Security thatNTLMv2 is used, for instance, when combining Outlook Web Access withan Internet Information Server. Ray said that when users log intotheir email accounts via a public Wi-Fi network, attackers canpotentially use the transmitted credentials to log in themselves.Many VPN and single sign-on solutions apparently also support NTLMauthentication.

Ina guest editorial at ZDnet, Ray expressedhis concerns that only very few people understand the true scope ofthis problem. In the researcher's opinion, only some vendors'penetration testers and developers – and a few hackers – havefully understood the consequences. Ray said that the only currentlyavailable remedies are to switch to other authentication protocols,such as Kerberos,or to enable additional security features such as SMB Signing.

(crve)

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com