Исследователи безопасности рассказали об уязвимости обхода функции безопасности в Windows NT LAN Manager (NTLM). Уязвимость (CVE-2021-1678) была обнаружена в компоненте сетевого стека и может быть проэксплуатирована удаленно. По словам исследователей из Crowdstrike, злоумышленник может использовать проблему для удаленного выполнения кода через реле NTLM.

Успешная эксплуатация уязвимости также позволяет злоумышленнику удаленно запускать код на компьютере под управлением Windows или перемещаться по сети в критически важные системы, такие как серверы с контроллерами домена, путем повторного использования учетных данных NTLM.

В частности, исследователи обнаружили, что IRemoteWinspool (RPC-интерфейс для удаленного управления диспетчером очереди печати) можно использовать для выполнения ряда RPC-операций и записи произвольных файлов на компьютере с использованием перехваченного сеанса NTLM.

Специалисты Microsoft сообщили, что устранили уязвимость путем «увеличения уровня аутентификации RPC и введения новой политики и раздела реестра, позволяющих клиентам отключать или включать режим принудительного применения на стороне сервера для повышения уровня аутентификации».

Источник: securitylab.ru