Caricamento...
Attendere, prego.

Menu

+39 045 5116665

[email protected]

Bug devastante nel servizio Kerberos di Microsoft

HomeNotizieBug devastante nel servizio Kerberos di Microsoft
HomeNotizieBug devastante nel servizio Kerberos di Microsoft
Bug devastante nel servizio Kerberos di Microsoft

Bug devastante nel servizio Kerberos di Microsoft

Scoperto un bug devastante nel servizio Kerberos di Microsoft

Un articolo apparso su un blog ha riportato in primo piano un certo numero di vulnerabilità legate all'autenticazione
presenti in varie implementazioni Kerberos, inclusa quella di Microsoft. Le vulnerabilità citate hanno suscitato nuova consapevolezza
di vecchie ma pericolose falle di sicurezza.

Il ricercatore di sicurezza @dfirblog ha dettagliato vari modi per attaccare Kerberos usando attacchi del tipo
pass-the-ticket, pass-the-hash o un certificato PAC forgiato ad arte che permettono ad un malitenzionato di bypassare il sistema di autenticazione.
Nella peggiore dei casi, usando una delle vulnerabilità, un utente malintenzionato potrebbe creare un "golden ticket" in un ambiente Microsoft Kerberos
e poi concedersi diritti di amministratore per creare password segrete per utenti esistenti o nuovi utenti.

Questo può accadere perchè nel Kerberos di Microsoft, il centro di distribuzione chiavi (key distribution center KDC) cripta e firma i ticket di permesso
(ticket-granting tickets TGT) e i dati del PAC utilizzando la chiave "segreta" dell'account "krbtgt", creato in maniera predefinita.
La vulnerabilià è ancora piu pericolosa perchè l'account è disabilitato e non utilizzato, così la password è cambiata raramente e Kerberos di Microsoft
tiene le ultime due password associate con quell'account in memoria.

@dfirblog ha trovato molte vie per ottenere quella chiave segreta. Una volta ottenuta, l'attaccante ha a disposizione circa 20 minuti
prima che l'account sia validato per fare compiti "impossibili" come creare ticket per utenti non esistenti o disabilitati.
Altrimenti l'attaccante dovrebbe creare un "golden ticket" per aver il controllo completo finchè il ticket scade, ma la scadenza può essere
settata ad un periodo lungo a piacere.

Maggiori informazioni qui: http://www.theregister.co.uk/2015/12/15/devastating_flaw_in_windows_authentication/

Stonebit - software house verona - consulenze informatiche e sicurezza di rete

 

sicurezza microsoft kerberos


06 01, 16
Essential SSL