Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Когда Windows сливает пароли в сети

7
2 мин
Аналитики компании Resecurity сообщили, что активно используемые в мире, но устаревшие сетевые протоколы Windows остаются серьёзной уязвимостью в корпоративных инфраструктурах. В исследовании говорится, что злоумышленники могут перехватывать учётные данные, не используя эксплойты — достаточно оказаться в пределах одной локальной сети с целью атаки. Критическая проблема затрагивает LLMNR (Link-Local Multicast Name Resolution) и NBT-NS (NetBIOS Name Service) — вспомогательные протоколы, предназначенные для резерва DNS. Эти механизмы принимают ответы от любого устройства в сети, что делает возможной подмену и перехват данных входа. Эксперты уточнили, что инструменты, вроде Responder, позволяют атакующему перехватить широковещательные запросы от Windows-хостов, после чего жертва отправляет зашифрованный хеш пароля, имя пользователя и данные домена. Такая информация может быть: Исследование подчеркивает: механизм атаки не требует наличия багов или CVE. Достаточно стандартных настроек Window
Изображение: Clint Patterson (unsplash)
Изображение: Clint Patterson (unsplash)

Аналитики компании Resecurity сообщили, что активно используемые в мире, но устаревшие сетевые протоколы Windows остаются серьёзной уязвимостью в корпоративных инфраструктурах. В исследовании говорится, что злоумышленники могут перехватывать учётные данные, не используя эксплойты — достаточно оказаться в пределах одной локальной сети с целью атаки.

Критическая проблема затрагивает LLMNR (Link-Local Multicast Name Resolution) и NBT-NS (NetBIOS Name Service) — вспомогательные протоколы, предназначенные для резерва DNS. Эти механизмы принимают ответы от любого устройства в сети, что делает возможной подмену и перехват данных входа.

Эксперты уточнили, что инструменты, вроде Responder, позволяют атакующему перехватить широковещательные запросы от Windows-хостов, после чего жертва отправляет зашифрованный хеш пароля, имя пользователя и данные домена. Такая информация может быть:

  • взломана офлайн с использованием специализированных утилит;
  • использована в атаках ретрансляции, чтобы получить доступ к защищённым сегментам корпоративной среды;
  • применена для дальнейшего перемещения по внутренним системам компании.

Исследование подчеркивает: механизм атаки не требует наличия багов или CVE. Достаточно стандартных настроек Windows и нахождения в одном сегменте сети. Это делает проблему особенно опасной в корпоративных и образовательных организациях, где сотни устройств обмениваются данными в пределах одной подсети.

После получения доступа злоумышленники могут:

  • проникать в файловые хранилища, CRM и ERP-системы;
  • эксплуатировать сервисные и админские аккаунты для повышения привилегий;
  • инициировать отключение или изменение критичных служб;
  • запускать скрытые атаки или подмену данных в распределённых системах.

Эксперты Resecurity говорят, что такие инциденты не ограничиваются точечной компрометацией. Как только атакующий получает одно действительное имя пользователя и хеш пароля, он может развивать атаку на другие машины, нарушая работу всей организации. В условиях высокой цифровой связанности даже единичный успешный перехват способен привести к масштабному кризису.

Оригинал публикации на сайте CISOCLUB: "Resecurity: устаревшие протоколы Windows продолжают подвергать корпоративные сети риску компрометации данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются