Поделиться
Дефект в защите Windows NT/2000 делает отношения между доменами "слишком доверительными"
Представители Microsoft на прошлой неделе сделали официальное предупреждение об ошибке в подсистеме аутентификации пользователей серверных операционных систем Windows NT 4.0 и 2000, которая позволяет пользователю с правами администратора распространить свои полномочия на другие домены.В периодическом бюллетени компании, посвященном вопросам безопасности, сказано, что, хотя дефектом "очень трудно" воспользоваться, при наихудшем раскладе последствия будут достаточно серьезными. В Microsoft отметили, что, если данная проблема рассматривается в организации как угроза безопасности, системным администраторам следует установить пакет исправлений.
Проблема заключается в доверительных отношениях между сетевыми доменами Windows NT/2000. Доверяющий домен не проверяет права доверяемого домена для всех идентификаторов защиты (SID), позволяя злоумышленнику повысить свой уровень доступа.
Доверительные отношения широко используются в сетевой среде Windows 2000 и NT 4.0. Они устанавливаются между сетевыми доменами для того, чтобы дать возможность пользователям одного домена обращаться к ресурсам другого без дополнительной авторизации. Когда пользователь из доверяемого домена запрашивает доступ к ресурсам в доверяющем домене, доверяемый домен пересылает данные авторизации в виде списка идентификаторов SID, содержащих сведения о пользователе и членстве в группах.
Чтобы взломать защиту, злоумышленнику необходимо добавить дополнительный идентификатор SID к данным авторизации доверяемого домена. Для этого злоумышленник должен иметь права администратора в доверяемом домене, а также обладать определенными техническими знаниями для модификации низкоуровневых структур данных операционной системы, поскольку в Windows нет инструментов для редактирования списка SID.
В Microsoft отметили, что доверяющий домен "слишком доверчив" при проверке данных авторизации в списке SID. Если, например, злоумышленник имеет права администратора в своем домене и доступ только на чтение в другом домене, он может добавить SID, который идентифицирует его как администратора соседнего домена.
Дефект в защите может быть устранен с помощью нового инструмента SID Filtering. После установки исправления идентификаторы SID, не принадлежащие исходному домену, автоматически удаляются из списка авторизации.
В Microsoft предупредили, что установка SID Filtering может дать побочный эффект. Правильные идентификаторы защиты, которые поступили не из исходного домена, также отфильтровываются. Это может, например, вызвать проблемы у пользователей, осуществляющих переход с NT 4.0 на 2000 и использующих утилиту SIDHistory. Утилита SIDHistory позволяет упростить миграцию до того, как для ресурсов будет создан новый список контроля доступа (ACL).
Основанная в 1975 году корпорация Microsoft является признанным мировым лидером в производстве программного обеспечения, предоставлении услуг и разработке Интернет-технологий для персональных компьютеров и серверов. Компания предлагает широкий спектр программных продуктов для делового и личного применения и услуг, призванных расширить возможности человека за счет использования современного программного обеспечения в любое время, в любом месте и на любом устройстве. С 1992 г. в Москве действует представительство Microsoft, в задачи которого входит развитие рынка программного обеспечения на территории стран СНГ, а также внедрение и локализация новейших технологий.
Короткая ссылка
