Windows-jakojen automaattikirjautumiseen liittyvä ongelma jälleen pinnalla

Windows-käyttöjärjestelmien NTLM-autentikointiin liittyvä haavoittuvuus mahdollistaa Windows-tilin käyttäjätunnuksen ja salatun salasanan vuotamisen hyökkääjän hallussa olevalle palvelimelle. Ongelma liittyy file:// -osoitteiden käsittelyyn ja se koskee Windowsin paikallisten tunnusten lisäksi Microsoft Live- ja toimialuetunnuksia (domain).

Windows yrittää kertakirjautumisperiaatteen mukaisesti kirjautua automaattisesti SMB-verkkojakoihin. Vihamielinen palvelin voi tallentaa kirjautumisyrityksen tiedot, jotka sisältävät käyttäjätunnuksen, toimialueen ja salasanatiivisteen. Heikot salasanat voi olla mahdollista selvittää tiivisteestä.

Ongelmalliseksi ominaisuuden tekee useiden Windows-sovellusten tapa avata verkkojakoja verkosta saatujen linkkien perusteella. Erimerkiksi Internet Explorer, Edge ja Outlook voivat yhdistää jakoon automaattisesti kohdatessaan verkkosivulle tai sähköpostiin upotetun linkin. Käyttäjä voidaan myös harhauttaa yhdistämään vihamieliseen SMB-jakoon file:// -linkkiä seuraamalla. Haavoittuvuus vuotaa myös VPN-palveluiden kirjautumistietoja, jos palvelun tunnistautuminen on toteutettu MSCHAPv2-protokollalla.

Vastaavan kaltainen haavoittuvuus löydettiin myös vuonna 2015. Kyberturvallisuuskeskus käsitteli HTTP-pyyntöjä SMB-jakoihin ohjannutta haavoittuvuutta Haavoittuvuustiedotteessa 032/2015.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Luottamuksellisen tiedon hankkiminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Ongelman rajoittaminen
  • Ei päivitystä
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Windows-käyttöjärjestelmät

Ratkaisu- ja rajoitusmahdollisuudet:

Ongelmaa on mahdollista rajoittaa seuraavilla tavoilla:
  • Ulospäin suuntautuvien SMB-yhteyksien estäminen (TCP-portit 139 ja 445) tai salliminen ainoastaan ennalta määriteltyihin kohteisiin
  • Työasemapalomuuri suojaa myös oman verkon ulkopuolella liikuttaessa
  • Vahva tunnistautuminen (2 factor authentication)
  • Vahvojen salasanojen käyttö
  • NTLM:n käytön rajoittaminen ryhmäkäytäntöjen (Group Policy) avulla
  • NTLM-autentikoinnin poistaminen käytöstä

Lisätietoa:

Päivityshistoria

Asiasanat: Internet , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248