Howpsuzlyk boýunça bilermenler Windows NT LAN Manager (NTLM) protkolynyň howpsuzlyk funksiýasyny aýlanyp geçmek gowşaklygy barada habar berdiler. Bu gowşaklyk (CVE-2021-1678) tor toplumynyň düzüm böleginde saklanýanlygy, şeýle hem bu gowşaklygy uzaklykdan ulanyp bolýanlygy ýüze çykaryldy. Crowdstrike kompaniýasynyň gözlegçileriniň sözlerine görä, bu gowşaklygy NTLM releniň üsti bilen uzaklykdan kod ýerine ýetirmek üçin ulanmak mümkin.

Gowşaklyk şowly ulanylan ýagdaýynda Windows ulgamy bilen işleýän kompýuterde uzaklykdan kod işletmek, şeýle hem NTLM hasaba alyş maglumatlaryny gaýtadan ulanyp, tor arkaly domen dolandyryjylary bolan ulgamlar ýaly möhüm ulgamlara geçmek mümkinçilikler döreýär.

Hususan-da, gözlegçiler IRemoteWinspool (çap etmek programmasyny uzaklykdan dolandyrmak üçin RPC-interfeýsi) birnäçe RPC-amallaryny ýerine ýetirmek we NTLM sessiýasy arkaly kompýuterde erkin faýl ýazmak üçin ulanylyp bilinjekdigini anykladylar.

Microsoft hünärmenleri «RPC autentifikasiýa barlagynyň derejesini ýokarlandyrmak, şeýle hem autentifikasiýa barlagynyň derejesini ýokarlandyrmak üçin müşderilere serwerde mejbury ýagdaýda ulanmak düzgüni (Enforcement mode) öçürmek ýa-da işletmek mümkinçiligini berýän täze syýasaty we bellige alyş açary girizmek" arkaly bu gowşaklyk düzedilendigi barada habar berdiler.

Çeşme: securitylab.ru