-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 CAIS-Alerta [26/06/2019]: Vulnerabilidades no protocolo de autenticação NTLM do sistema operacional Windows Prezados, O CAIS alerta para as recentes vulnerabilidades encontradas no protocolo de autenticação NTLM do sistema operacional Windows. Tais vulnerabilidades podem permitir a execução de código malicioso em sistemas Windows ou autenticação em servidores HTTP que suportem autenticação integrada do Windows (WIA), como Exchange ou Serviços de Federação do Active Directory (ADFS). Já foram identificados códigos de exploração para as vulnerabilidades identificadas. DESCRIÇÃO CVE-2019-1019 Através dessa vulnerabilidade é possivel obter chaves de sessão e pacotes assinados em mensagens de NETLOGON. Um usuário malicioso precisa utilizar de técnicas de MITM (Man-In-The-Middle) e uma vez em posse dessas informações este pode enviar/reenviar mensagens de autenticação especialmente modificadas, caso obtenha sucesso poderá acessar o sistema em questão com privilégios do usuário que teve suas chaves capturadas. CVE-2019-1040 Para um usuário malicioso explorar a vulnerabilidade é necessário realizar um ataque MITM (Man-In-The-Middle), burlar o sistema de checagem de integridade de mensagem (MIC) do protocolo NTLM e modificar os sinalizadores do pacote NTLM sem invalidar a assinatura. Uma vez que ele consiga executar todas estas etapas, ele será capaz de fazer downgrade dos recursos de segurança do NTLM, o que pode facilitar o acesso aos sistemas e inclusive poderá executar códigos arbitrários no ambiente. SISTEMAS IMPACTADOS Sistemas Operacionais Microsoft Windows VERSÕES AFETADAS Todas as versões do Sistemas Operacionais Microsoft Windows CORREÇÕES DISPONÍVEIS Aplicar os patches de atualização fornecidos pela Microsoft [1] e [2]. IDENTIFICADORES CVE (http://cve.mitre.org) CVE-2019-1040 CVE-2019-1019 MAIS INFORMAÇÕES [1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040 [2] https://portal.msrc.microsoft.com/pt-br/security-guidance/advisory/CVE-2019-1019 [3] https://blog.preempt.com/security-advisory-critical-vulnerabilities-in-ntlm [4] https://dirkjanm.io/exploiting-CVE-2019-1040-relay-vulnerabilities-for-rce-and-domain-admin/ [5] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1040 [6] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1019 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhadas pelas redes sociais da RNP. Siga-nos! Twitter: @RedeRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iQIzBAEBCgAdFiEE04JqHmzxtIXrrCYafN6gNLj49JgFAl0ThFIACgkQfN6gNLj4 9JjnPQ//elh/scVsVeFCS4OqXpu1ttbWE74qKZglf5Ij2e5mj50yUI3VyKiq413j ShuY9c+vTOYkL8yYUWGl1aDPfu2hvvptJc7no6K/Vf4+fzCrJDFstDY8heUEiddc GXmWrfApYr6LCQx6pnEG59KMaCY9zuS14luvZXakyw5SIY+ei2qluXzQKoiWiESQ tJK3u2P1LrP2A8TzjcmyTB5EUfB7mfrO4xNSnQfVSOq5Qu3NQIFgf2kuP0zqBZmp I+gwJp8VnVNQ3/5/OzULUsW1oK9kRcjvqxGoHGc755tkqukSjkTSLDSrI+WjLCmj 6yYZzZLl5jfk/N+yfDLM83nr0VlCnN8ugjy6Ivixlju86OAu47JA/SqZnG6OkZMD BpsRuJtix0O+xHhwiWHqWvs5xj0frJCXCuroPk4rZ1hemvePVMWhHtRVtM5WNW9W RXN4W9/ifltDXz42MazWHKRQ6xB10felPB2egShcQvcMsl6jnTn9RoQ7iwHMcG7L TIHcQECgOsDtYddQtWSUTiOKQriwOLRvUx9fIivNX1dM5CGL/85MK1oYIPDqRkRv 7ifQ+c0IpJmVKQ3XQ8kWX4xEn1Ib4hptK8yZ8eDHNjw1/WopiTrQSisLq4Nu7EOv 0JO6EzHmqQts/GRuBCSsxQWuBOc2+bMMBSkZJ3tQ5nIZmOz3Cfg= =Y0Jv -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta@listas.rnp.br http://listas.rnp.br/mailman/listinfo/rnp-alerta