Nedavna istraga je otkrila da napadači iskorištavaju ranjivosti IBM i Access Client Solutions (ACS) kako bi ukrali Windows korisničke kredencijale.
Ovo alarmantno otkriće naglašava rizike povezane s WINLOGON načinom provjere autentičnosti , koji je IBM nedavno odbacio zbog problema s kompatibilnošću sa zaštitom Local Security Authority (LSA) Windows 11.
IBM ACS je široko korišten alat za upravljanje IBM i sistemima. Nudi različite metode provjere autentičnosti, uključujući WINLOGON, koji omogućava korisnicima da se prijave koristeći svoje Windows kredencijale bez dodatnih upita.
Međutim, ažuriranje za Windows 11 24H2 uvelo je LSA zaštitu, sigurnosnu funkciju dizajniranu da zaštiti osjetljive kredencijale od neovlaštenog pristupa. Ovo ažuriranje učinilo je WINLOGON način nekompatibilnim, kao što je navedeno u IBM-ovoj dokumentaciji podrške.
LSA zaštita je ključna za spriječavanje tehnika krađe akreditiva poput onih koje koristi zloglasni alat Mimikatz , koji izvlači tajne iz procesa LSASS.exe.
Dok LSA ima za cilj da ojača sigurnost kredencijala, njegova interakcija sa softverom treće strane kao što je IBM ACS stvorila je nove površine napada.
Detalji eksploatacije
Istraživači Silent Signal-a su otkrili da IBM ACS-ova *WINLOGON* funkcija stupa u interakciju sa Windows DLL-ovima mrežnog provajdera , koji se učitavaju tokom prijavljivanja korisnika putem procesa `mpnotify.exe`.
Ovi DLL-ovi primaju kredencijala otvorenog teksta putem funkcije povratnog poziva, što ih čini glavnom metom napadača.
Manipulisanjem ključem Windows Registry odgovornim za redoslijed mrežnog provajdera (`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order`), napadači mogu ubaciti maliciozne DLL-ove u proces prijave.
Ovi lažni DLL-ovi mogu presresti Windows lozinke otvorenog teksta tokom prijave, omogućavajući prikupljanje akreditiva. Problem je pogoršan time što IBM ACS rukuje ovim kredencijalima.
Da bi se olakšalo besprijekorno povezivanje s udaljenim IBM i sistemima, ACS pohranjuje lozinke otvorenog teksta u Windows Registry pod slabo zamagljenom vrijednošću.
Ova greška u dizajnu omogućava napadačima s lokalnim pristupom da dekodiraju i dohvate pohranjene kredencijale.
Ova ranjivost nije sasvim nova. Sličan problem je prijavljen 2016. godine kada su istraživači Tenablea identifikovali slabu zamagljenost u mehanizmu skladištenja lozinki IBM System i Navigatora.
Uprkos ovom ranom upozorenju, IBM je nastavio podržavati WINLOGON do kasne 2024. godine, kada je počeo postupno ukidati ovu funkciju zbog rastućih sigurnosnih problema.
Odgođeni odgovor postavlja pitanja zašto je takva kritična ranjivost opstajala skoro čitavu deceniju prije nego što je sveobuhvatno riješena. Čak i sada, korisnici koji se oslanjaju na starije ACS verzije ili konfiguracije mogu ostati izloženi.
Ublažavanje i preporuke
IBM je savjetovao korisnike da pređu sa *WINLOGON* provjere autentičnosti i usvoje alternativne metode kao što su:-
Zadani korisnički profili: Od korisnika se traži njihova lozinka samo jednom po sesiji, a kredencijali se privremeno keširaju.
Kerberos autentifikacija: sigurnije, ali složenije podešavanje koje zahtijeva odgovarajuću konfiguraciju.
Drugi alati: Mogu se koristiti opcije poput `cwblogon` ili `.netrc` datoteka, ali nose rizike ako se ne implementiraju na siguran način. Dodatno, administratori bi trebali pregledati i pooštriti kontrolu pristupa na sistemima koji koriste IBM ACS. Nadgledanje promjena registra i revizija DLL opterećenja može pomoći u otkrivanju sumnjive aktivnosti.
Ovaj slučaj naglašava važnost proaktivnog upravljanja ranjivostima u poslovnom softveru. Kako se platforme poput Windowsa razvijaju sa poboljšanim sigurnosnim funkcijama, naslijeđeni softver mora se brzo prilagoditi kako ne bi postao vektori napada.
Za organizacije koje koriste IBM i sisteme, ovaj incident služi kao poziv za buđenje za davanje prioriteta sigurnosnim ažuriranjima i ponovnu procjenu oslanjanja na zastarjele mehanizme provjere autentičnosti.
Izvor: CyberSecurityNews
