• Artigo

Assessoria de Segurança

Comunicado de Segurança da Microsoft 974926

Ataques de retransmissão de credenciais na autenticação integrada do Windows

Publicado em: 8 de dezembro de 2009

Versão: 1.0

Este comunicado aborda o potencial de ataques que afetam o tratamento de credenciais usando a Autenticação Integrada do Windows (IWA) e os mecanismos que a Microsoft disponibilizou para os clientes para ajudar a proteger contra esses ataques.

Nesses ataques, um invasor que seja capaz de obter as credenciais de autenticação do usuário enquanto está sendo transferido entre um cliente e um servidor poderá refletir essas credenciais de volta para um serviço em execução no cliente ou encaminhá-las para outro servidor no qual o cliente tenha uma conta válida. Isso permitiria que o invasor obtivesse acesso a esses recursos, fazendo-se passar pelo cliente. Como as credenciais IWA são colocadas em hash, um invasor não pode usar isso para determinar o nome de usuário e a senha reais.

Dependendo do cenário e do uso de vetores de ataque adicionais, um invasor pode obter credenciais de autenticação dentro e fora do perímetro de segurança da organização e utilizá-las para obter acesso inadequado aos recursos.

A Microsoft está abordando o impacto potencial desses problemas em diferentes níveis e deseja conscientizar os clientes sobre as ferramentas que foram disponibilizadas para resolver esses problemas e o impacto do uso dessas ferramentas. Este comunicado contém informações sobre as diferentes ações que a Microsoft tomou para melhorar a proteção das credenciais de autenticação IWA e como os clientes podem implantar essas salvaguardas.

Fatores atenuantes:

  • Para retransmitir credenciais, um invasor precisaria aproveitar com sucesso outra vulnerabilidade para executar um ataque man-in-the-middle, ou para convencer a vítima, usando engenharia social, a se conectar a um servidor sob o controle do invasor, por exemplo, enviando um link em uma mensagem de email mal-intencionada.
  • O Internet Explorer não envia automaticamente credenciais usando HTTP para servidores hospedados na zona da Internet. Isso reduz o risco de que as credenciais possam ser encaminhadas ou refletidas por um invasor dentro dessa zona.
  • O tráfego de entrada deve ser permitido ao sistema cliente para que um ataque de reflexão seja bem-sucedido. O vetor de ataque mais comum é o SMB, pois permite a autenticação IWA. Os hosts por trás de um firewall que bloqueia o tráfego SMB ou os hosts que bloqueiam o tráfego SMB em um firewall de host não são vulneráveis aos ataques de reflexão NTLM mais comuns, que têm como alvo o SMB.

Informações Gerais

Descrição geral

Objetivo do comunicado: Esclarecer as ações que a Microsoft está tomando para estender a proteção das credenciais do usuário ao usar a Autenticação Integrada do Windows (IWA).

Status do comunicado: Comunicado publicado.

Recomendação: Revise as ações sugeridas e configure conforme apropriado.

Referências Identificação
Artigo da Base de Dados de Conhecimento Microsoft 974926

Este comunicado descreve o seguinte software.

Software afetado
Windows XP Service Pack 2 e Windows XP Service Pack 3
Windows XP para sistemas baseados em x64 Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 para sistemas baseados em x64 Service Pack 2
Windows Server 2003 para sistemas baseados em Itanium Service Pack 2
Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados em Itanium e Windows Server 2008 para sistemas baseados em Itanium Service Pack 2
Windows 7 para sistemas de 32 bits*
Windows 7 para sistemas baseados em x64*
Windows Server 2008 R2 para sistemas baseados em x64*
Windows Server 2008 R2 para sistemas baseados em Itanium*

*O Windows 7 e o Windows Server 2008 R2 fornecem Proteção Estendida para Autenticação como um recurso da Interface do Provedor de Suporte de Segurança (SSPI). Os aplicativos executados nesses sistemas operacionais ainda podem ser expostos à retransmissão de credenciais se o sistema operacional ou o aplicativo não estiver configurado para oferecer suporte a esse recurso. A Proteção Estendida para Autenticação não está habilitada por padrão.

Perguntas Mais Frequentes

Qual é o âmbito do aconselhamento?
Este comunicado de segurança fornece uma visão abrangente da estratégia que a Microsoft aplica para proteger contra a retransmissão de credenciais. Ele fornece uma visão geral das atualizações atualmente disponíveis para resolver esse problema de forma abrangente.

O que causa essa ameaça?
Este comunicado aborda o potencial de retransmissão de autenticação. Esses ataques ocorrem quando um invasor consegue obter credenciais de autenticação, por exemplo, por meio de um ataque man-in-the-middle, ou convencendo um usuário a clicar em um link. Esse link pode fazer com que o cliente acesse um serviço controlado por invasores que solicita que o usuário se autentique usando IWA.

As formas de transmissão de credenciais referidas neste comunicado são:

  • Encaminhamento de credenciais: as credenciais de domínio obtidas por um invasor podem ser usadas para fazer logon em outros serviços aos quais a vítima é conhecida por ter acesso. O invasor pode então adquirir permissões idênticas às da vítima no serviço de destino.
  • Reflexão de credenciais: as credenciais de domínio obtidas por um invasor podem ser usadas para fazer logon novamente na máquina da vítima. O atacante adquiriria então permissões nessa máquina idênticas às da vítima.

Para que esses ataques sejam bem-sucedidos, um invasor requer que um usuário se conecte ao servidor do invasor. Isso pode ser feito por ataques que envolvem a presença do invasor na rede local, como envenenamento de cache do protocolo de resolução de endereço (ARP).

O impacto desses ataques aumenta quando um invasor convence um usuário a se conectar a um servidor fora do limite organizacional. Os cenários específicos que podem permitir que isso ocorra são os seguintes:

  • DNS devolution, um recurso de cliente DNS do Windows que permite que clientes DNS do Windows resolvam consultas DNS para nomes de host não qualificados de rótulo único. Um usuário mal-intencionado pode registrar um nome de host específico fora do limite da organização que, se os clientes estiverem configurados incorretamente, pode ser contatado involuntariamente por um cliente quando ele estiver fora do limite organizacional ao tentar acessar esse nome de host.
  • Falsificação de DNS, em que um invasor pode explorar vulnerabilidades no DNS (Sistema de Nomes de Domínio) do Windows, permitindo a falsificação. Esses ataques podem permitir que um invasor remoto redirecione o tráfego de rede destinado a sistemas na Internet para o sistema do invasor.
  • Falsificação do NetBIOS Name Service (NBNS), em que o usuário é atraído a executar um applet de código ativo especialmente criado (por exemplo, Java ou Flash) que iniciaria uma consulta para um nome de host local e, posteriormente, introduz respostas NBNS falsificadas para o cliente com um endereço IP remoto. Ao se conectar a esse nome de host, o cliente consideraria isso uma máquina local e tentaria credenciais IWA, expondo-as ao invasor remoto;

A Microsoft lançou várias atualizações para ajudar a resolver esses cenários e este comunicado tem como objetivo resumir como os clientes podem avaliar melhor o risco e os problemas em seu cenário de implantação específico.

O que é a Autenticação Integrada do Windows (IWA)?
Com a Autenticação Integrada do Windows (anteriormente chamada NTLM e também conhecida como Autenticação de Desafio/Resposta do Windows NT), o nome de usuário e a senha (credenciais) são colocados em hash antes de serem enviados pela rede. Quando você habilita a Autenticação Integrada do Windows, o cliente prova seu conhecimento da senha por meio de uma troca criptográfica com hash com seu servidor Web. A Autenticação Integrada do Windows inclui os métodos de autenticação Negotiate, Kerberos e NTLM.

O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários através do computador do invasor sem o conhecimento dos dois usuários que se comunicam. O invasor pode monitorar e ler o tráfego antes de enviá-lo para o destinatário pretendido. Cada usuário na comunicação inadvertidamente envia tráfego e recebe tráfego do invasor, pensando ao mesmo tempo que está se comunicando apenas com a parte pretendida.

Que ações a Microsoft tomou para lidar com ataques de falsificação de DNS?
A Microsoft lançou os seguintes boletins de segurança para lidar com ataques de falsificação de DNS:

  • O boletim MS08-037 elimina duas vulnerabilidades que podem permitir que um invasor falsifice registros DNS e os insira no cache do servidor DNS.
  • O boletim MS09-008 elimina duas vulnerabilidades que podem permitir que um invasor falsifice registros DNS e os insira no cache do servidor DNS e duas vulnerabilidades que podem permitir que um invasor registre maliciosamente nomes de host relacionados à infraestrutura de rede (WPAD e ISATAP) que poderiam ser usados para acomodar novos ataques.

Que ações a Microsoft tomou para lidar com ataques de falsificação NBNS?
A Microsoft trabalhou com os fornecedores terceiros afetados por esta vulnerabilidade e implementou a atenuação contra este vetor de ataque. Esse problema foi resolvido no Adobe Flash Player no Boletim de Segurança da Adobe APSB08-11 e no Sun Java Runtime Environment no Sun Alert 103079.

O que é envenenamento de cache ARP (Address Resolution Protocol)?
O envenenamento de cache ARP é um ataque que consiste no computador de um invasor, presente na mesma sub-rede que a vítima, enviando respostas ARP falsificadas ou gratuitas. Isso geralmente tentará confundir os clientes fazendo-os acreditar que o invasor é o gateway padrão na rede e resultará no computador vítima enviando informações para o invasor, em vez do gateway. Tal ataque pode ser aproveitado para configurar um ataque man-in-the-middle.

O que é Transport Layer Security (TLS)?
O protocolo Handshake Transport Layer Security (TLS) é responsável pela autenticação e troca de chaves necessárias para estabelecer ou retomar sessões seguras. Ao estabelecer uma sessão segura, o protocolo Handshake gerencia o seguinte:

  • Negociação de pacotes de codificação
  • Autenticação do servidor e, opcionalmente, do cliente
  • Troca de informações sobre as chaves da sessão

Para obter mais informações, consulte o artigo do TechNet, How TLS/SSL works.

Que versões do Windows estão associadas a este comunicado?
O encaminhamento e a reflexão de credenciais afetam todas as plataformas que têm a capacidade de executar a Autenticação Integrada do Windows. O recurso Proteção Estendida para Autenticação está incluído no Windows 7 e no Windows Server 2008 R2 e foi disponibilizado para Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008 em uma atualização não relacionada à segurança lançada como Comunicado de Segurança da Microsoft 973811. Para proteger totalmente as credenciais de autenticação, aplicativos específicos nesses sistemas operacionais ainda precisam aceitar o mecanismo. O recurso Proteção estendida não está disponível para o sistema operacional Microsoft Windows 2000.

Que ações a Microsoft tomou para lidar com ataques de reflexão de credenciais?
Os aplicativos são protegidos contra ataques de reflexão de credenciais se utilizarem corretamente o SPN (Nome da Entidade de Serviço) ao se autenticarem em um serviço.

Antes da publicação deste comunicado de segurança, a Microsoft havia lançado as seguintes atualizações de segurança para garantir que os componentes do Windows e os aplicativos da Microsoft aceitassem corretamente esse mecanismo para fornecer proteção contra ataques de reflexão de credenciais:

Que ações a Microsoft tomou para lidar com ataques de encaminhamento de credenciais?
Alguma proteção contra o encaminhamento de credenciais é fornecida pela Interface do Provedor de Suporte de Segurança do Windows (SSPI). Essa interface é implementada no Windows 7 e no Windows Server 2008 R2 e foi disponibilizada como uma atualização não relacionada à segurança para Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008.

Para serem protegidas, atualizações adicionais não relacionadas à segurança precisam ser implantadas para fornecer a mesma proteção para componentes e aplicativos específicos de cliente e servidor. Esse recurso aplica alterações à autenticação no cliente e no servidor e deve ser implantado com cuidado. Mais informações sobre a Proteção Estendida para Autenticação e as atualizações não relacionadas à segurança lançadas para implementar esse mecanismo podem ser encontradas no Comunicado de Segurança da Microsoft 973811.

Como essas atualizações abordam os ataques de encaminhamento de credenciais?
A atualização não relacionada à segurança SSPI do Comunicado de Segurança da Microsoft 973811 modifica o SSPI para estender o atual mecanismo de Autenticação Integrada do Windows (IWA) para que as solicitações de autenticação possam ser vinculadas ao SPN do servidor ao qual o cliente tenta se conectar, bem como ao canal externo TLS (Transport Layer Security) no qual a autenticação IWA ocorre, se esse canal existir. Esta é uma atualização base que não aborda uma vulnerabilidade de segurança em si, mas implanta isso como um recurso opcional que os fornecedores de aplicativos podem optar por configurar.

As atualizações não relacionadas à segurança específicas do aplicativo modificam componentes individuais do sistema que executam a autenticação IWA para que os componentes aceitem os mecanismos de proteção implementados pela atualização não relacionada à segurança da camada 1. Mais informações sobre como habilitar a Proteção Estendida para Autenticação podem ser encontradas no Comunicado de Segurança da Microsoft 973811 e no artigo correspondente da Base de Dados de Conhecimento Microsoft 973811.

Que ações a Microsoft tomou para lidar com a devolução de DNS?
A devolução de DNS pode ser usada como um vetor de ataque para explorar essa vulnerabilidade fora de uma rede corporativa. A devolução é um recurso de cliente DNS do Windows pelo qual os clientes DNS do Windows resolvem consultas DNS para nomes de host não qualificados de rótulo único. As consultas são construídas anexando o sufixo DNS primário (PDS) ao nome do host. A consulta é repetida removendo sistematicamente o rótulo mais à esquerda no PDS até que o nome do host e o PDS restante sejam resolvidos, ou apenas dois rótulos permaneçam no PDS removido. Por exemplo, os clientes Windows que procuram "Rótulo único" no domínio western.corp.contoso.co.us consultarão progressivamente Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us e, em seguida, Single-label.co.us até encontrar um sistema que resolva. Este processo é designado por devolução.

Um invasor pode hospedar um sistema com um nome de rótulo único fora do limite de uma organização e, devido à devolução do DNS, pode fazer com que um cliente DNS do Windows se conecte a ele como se estivesse dentro do limite organizacional. Por exemplo, se o sufixo DNS de uma empresa for corp.contoso.co.us e for feita uma tentativa de resolver um nome de host não qualificado de "Single-Label", o resolvedor de DNS tentará Single-Label.corp.contoso.co.us. Se isso não for encontrado, ele tentará, via devolução de DNS, resolver Single-label.contoso.co.us. Se isso não for encontrado, ele tentará resolver Single-label.co.us, que está fora do domínio contoso.co.us. Este processo é designado por devolução.

Por exemplo, se esse nome de host for WPAD, um invasor que configure WPAD.co.us pode fornecer um arquivo de Descoberta Automática de Proxy da Web mal-intencionado para definir as configurações de proxy do cliente.

A Microsoft lançou o Comunicado de Segurança 971888 e uma atualização associada para fornecer às organizações um controle mais granular sobre como os clientes Windows executam a devolução de DNS. Esta atualização permite que uma organização impeça que os clientes desenvolvam fora do limite organizacional.

O que os desenvolvedores de terceiros podem fazer para ajudar a lidar com a retransmissão de credenciais?
Os desenvolvedores de terceiros devem considerar a implementação da Proteção Estendida para Autenticação aceitando esse novo mecanismo de proteção descrito no Comunicado de Segurança da Microsoft 973811.

Mais informações sobre como os desenvolvedores podem optar por esse mecanismo podem ser encontradas no artigo do MSDN, Integrated Windows Authentication with Extended Protection.

O que é um SPN (Nome da Entidade de Serviço)?
Um SPN (Nome da Entidade de Serviço) é o nome pelo qual um cliente identifica exclusivamente uma instância de um serviço. Se você instalar várias instâncias de um serviço em computadores em toda a rede, cada instância deverá ter seu próprio SPN. Uma determinada instância de serviço pode ter vários SPNs se houver vários nomes que os clientes possam usar para autenticação. Por exemplo, um SPN sempre inclui o nome do computador host no qual a instância de serviço está sendo executada, portanto, uma instância de serviço pode registrar um SPN para cada nome ou alias de seu host.

Ações Sugeridas

  • Consulteo Comunicado de Segurança da Microsoft 973811, Proteção Estendida para Autenticação e implemente as atualizações associadas
    Este comunicado de segurança anuncia o lançamento de atualizações não relacionadas à segurança que implementam a Proteção Estendida para Autenticação. Esse recurso ajuda a proteger as tentativas de autenticação contra ataques de retransmissão.
  • Consulte o971888 do Comunicado de Segurança da Microsoft, Atualização para devolução de DNS
    Este comunicado de segurança anuncia o lançamento de uma atualização opcional não relacionada à segurança que permite aos administradores de sistema configurar a devolução de DNS com maior especificidade.
  • Consulte o artigo da Base de Dados de Conhecimento Microsoft associado a este comunicado
    Os clientes interessados em saber mais sobre este comunicado de segurança devem consultar o Artigo 974926 da Base de Dados de Conhecimento Microsoft.
  • Proteja o seu PC
    Continuamos a incentivar os clientes a seguir a nossa orientação Proteja o seu computador de ativar um firewall, obter atualizações de software e instalar software antivírus. Os clientes podem saber mais sobre estas etapas visitando Proteja seu computador.
  • Para obter mais informações sobre como se manter seguro na Internet, os clientes devem visitar a Central de Segurança da Microsoft.
  • Manter o Windows atualizado
    Todos os utilizadores do Windows devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que os seus computadores estão tão protegidos quanto possível. Se não tiver a certeza se o seu software está atualizado, visite o Windows Update, analise o seu computador em busca de atualizações disponíveis e instale quaisquer atualizações de alta prioridade que lhe sejam oferecidas. Se tiver as Atualizações Automáticas ativadas, as atualizações ser-lhe-ão entregues quando forem lançadas, mas tem de se certificar de que as instala.

Soluções

Existem várias soluções alternativas para ajudar a proteger os sistemas contra ataques de reflexão ou encaminhamento de credenciais. A Microsoft testou as seguintes soluções alternativas. Embora essas soluções alternativas não corrijam a vulnerabilidade subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é identificada na seção a seguir.

Bloquear as portas TCP 139 e 445 no firewall

No caso de ataques de reflexão de credenciais, as conexões de entrada usando as credenciais retransmitidas são mais prováveis nos serviços SMB ou RPC. Bloquear as portas TCP 139 e 445 no firewall ajudará a proteger os sistemas que estão por trás desse firewall contra tentativas de explorar esta vulnerabilidade. A Microsoft recomenda que bloqueie todas as comunicações de entrada não solicitadas da Internet para ajudar a evitar ataques que possam utilizar outras portas. Para obter mais informações sobre portas, consulte Atribuições de portas TCP e UDP.

Impacto da solução alternativa: vários serviços do Windows usam as portas afetadas. Bloquear a conectividade com as portas pode fazer com que vários aplicativos ou serviços não funcionem. Alguns dos aplicativos ou serviços que podem ser afetados estão listados abaixo:

  • Aplicativos que usam SMB (CIFS)
  • Aplicativos que usam mailslots ou pipes nomeados (RPC sobre SMB)
  • Servidor (Partilha de Ficheiros e Impressão)
  • Política de Grupo
  • Logon de rede
  • Sistema de ficheiros distribuídos (DFS)
  • Licenciamento do Terminal Server
  • Spooler de Impressão
  • Browser de Computador
  • Localizador de chamadas de procedimento remoto
  • Serviço de fax
  • Serviço de Indexação
  • Logs e alertas de desempenho
  • Servidor de Gestão de Sistemas
  • Serviço de Registo de Licenças

Habilitar assinatura SMB

Habilitar a assinatura SMB impede que o invasor execute código no contexto do usuário conectado. A assinatura SMB fornece autenticação mútua e de mensagens colocando uma assinatura digital em cada SMB, que é verificada pelo cliente e pelo servidor. A Microsoft recomenda o uso de Diretivas de Grupo para configurar a assinatura SMB.

Para obter instruções detalhadas sobre como usar a Diretiva de Grupo para habilitar e desabilitar a assinatura SMB para Microsoft Windows 2000, Windows XP e Windows Server 2003, consulte o artigo 887429 da Base de Dados de Conhecimento Microsoft. As instruções no artigo 887429 da Base de Dados de Conhecimento Microsoft para Windows XP e Windows Server 2003 também se aplicam ao Windows Vista e Windows Server 2008.

Impacto da solução alternativa: o uso da assinatura de pacotes SMB pode degradar o desempenho em transações de serviço de arquivo. Os computadores que têm essa política definida não se comunicarão com computadores que não tenham a assinatura de pacotes do lado do cliente habilitada. Para obter mais informações sobre assinatura SMB e possíveis impactos, consulte Microsoft network server: Digitally sign communications (always).

Outras informações

Recursos:

  • Você pode fornecer comentários preenchendo o formulário visitando Ajuda e Suporte da Microsoft: Entre em contato conosco.
  • Os clientes nos Estados Unidos e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de responsabilidade:

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões:

  • V1.0 (8 de dezembro de 2009): Comunicado publicado.

Construído em 2014-04-18T13:49:36Z-07:00