Уязвимость позволяла проводить NTLM атаки ретрансляции и захватывать домены
Microsoft в рамках обновлений в июне 2022 года исправила ранее обнаруженную уязвимость «ShadowCoerce», которая позволяла злоумышленнику проводить атаки ретрансляции (relay attack) NTLM на Windows серверы.
Атака ретрансляции NTLM может использоваться для ретрансляции аутентификационных данных на произвольный сервер, что может позволить злоумышленнику взять под контроль Windows-домен жертвы.
Microsoft скрытно исправила уязвимость, но не предоставила подробностей публично и не присвоила CVE идентификатор. «Было бы неплохо, если бы Microsoft была более открытой. Невероятно, что MS сейчас более скрытна в отношении безопасности, чем раньше, если только это не маркетинговый ход. Существенные изменения безопасности должны быть четко задокументированы в бюллетенях безопасности», - заявил исследователь безопасности Джеймс Форшоу в Twitter.
ShadowCoerce была обнаружена и впервые описана исследователем безопасности Лайонелом Жилем в конце 2021 года в презентации, демонстрирующей атаку PetitPotam .
Ранее сообщалось, что обнаруженная ранее атака ретрансляции DFSCoerce позволяет атакующему с низким уровнем доступа стать администратором Windows-домена.
04-29-2025, 10:56 AM
Hybrid Mode
