كشف یك حفره بحرانی در اكتیو دایركتوری

یك شركت امنیتی اظهار داشت كه یك مشكل بحرانی طراحی در اكتیو دایركتوری مایكروسافت وجود دارد كه باعث می شود مهاجم بتواند رمز عبور شبكه كاربر را تغییر دهد اما شركت مایكروسافت این ادعا را رد كرد و اعلام كرد این مساله قبلا شناسایی شده است و راه حل های برطرف كردن آن نیز موجود است.

به گزارش مرکز ماهر، محققان این شركت بر روی پروتكلNTLM متمركز شده اند. پروتكل NTLM یك پروتكل تایید هویت است كه تمامی نسخه های ویندوز پیش از ویندوز XP SP۳ به طور پیش فرض از آن استفاده می كنند و نسخه های جدید ویندوز نیز در تركیب با Kerberos با این پروتكل سازگار است.

این پروتكل نسبت به حملات دور زدن الگوریتم درهم ساز آسیب پذیر است. در این حملات مهاجم اعتبارنامه های ورودی را بدست می آورد و با استفاده از محاسبات ریاضی این اعتبارنامه ها (الگوریتم درهم ساز) می تواند به سرویس ها و رایانه های دیگر دسترسی یابد.

حملات دور زدن الگوریتم درهم ساز یك ضعف قدیمی در سیستم های SSO می باشد. سیستم عامل های دیگری كه از SSO استفاده می نمایند نیز تحت تاثیر این حملات قرار دارند.

غیرفعال كردن SSO این مشكل را برطرف می كند اما مستلزم آن است كه كاربر شبكه برای دسترسی به هر سیستمی باید هر بار رمز عبور خود را وارد نماید.

اگرچه برخی شركت ها استفاده از پروتكل NTLM را محدود كرده اند اما مهاجم می تواند كلاینت را مجبور نماید تا با استفاده از یك پروتكل ضعیف مانند RC4-HMAC كه از درهم ساز NTLM استفاده می كند، در اكتیو دایركتوری تایید هویت شود. سپس درهم ساز NTLM توسط Kerberos پذیرفته می شود و یك تیكت تایید هویت تازه را منتشر می كند.

شركت مایكروسافت پروتكل Kerberos را به منظور فرار از مشكلات امنیتی NTLM پیاده سازی كرد اما این پروتكل با RC4-HMAC كار می كند كه اجازه سازگاری با سیستم های قدیمی را می دهد. شركت مایكروسافت اعلام كر د كه مشكلات مربوط به NTLM در گزارش فنی سال ۲۰۱۲ تایید شده است.

در ماه می، شركت مایكروسافت اصلاحیه ای برای این مشكل منتشر كرد. هم چنین این شركت به سازمان ها توصیه كرد تا از كارت های هوشمند استفاده نمایند یا پشتیبانی از Kerberos RC4-HMAC را بر روی تمامی كنترل كننده های دامنه غیرفعال نمایند. اما به نظر می رسد كه این راه حل یك راه حل عملیاتی نیست.