Aviso de Segurança da Microsoft 974926

Ataques de Retransmissão de Credenciais na Autenticação Integrada do Windows

Data de publicação: 8 de dezembro de 2009

actualizada: 1.0

Este aviso aborda o potencial para ataques que afecta o processamento de credenciais utilizando a Autenticação Integrada do Windows (IWA) e os mecanismos disponibilizados pela Microsoft aos clientes para ajudar a proteger contra estes ataques.

Nestes ataques, um intruso que conseguisse obter as credenciais de autenticação do utilizador enquanto estas são transferidas entre um cliente e um servidor poderia fazer reflectir estas credenciais sobre um serviço a ser executado no cliente, ou encaminhá-las para outro servidor em que o cliente tem uma conta válida. Isto poderia permitir ao intruso obter acesso a estes recursos, fazendo-se passar pelo cliente. Uma vez que as credenciais IWA são convertidas, um intruso não poderia utilizá-las para descobrir o actual nome de utilizador e palavra-passe.

Consoante o cenário e a utilização de vectores de ataque adicionais, um intruso poderia obter credenciais de autenticação tanto no interior como no exterior do perímetro de segurança da organização e utilizá-las para obter acesso indevido aos recursos.

A Microsoft está a resolver o potencial impacto destas questões a diferentes níveis e pretende dar a conhecer aos clientes as ferramentas que foram utilizadas na resolução destas questões, assim como o impacto da utilização das mesmas. Este aviso contém informação sobre as diferentes acções que a Microsoft encetou para melhorar a protecção das credenciais de autenticação IWA e a forma como os clientes podem implementar estas defesas.

Factores Atenuantes:

  • Para retransmitir credenciais, um intruso teria de explorar com êxito outra vulnerabilidade para executar um ataque man-in-the-middle, ou teria de convencer a vítima, através de engenharia social, a ligar-se a um servidor sob controlo do intruso, enviando, por exemplo, uma ligação numa mensagem de correio electrónico maliciosa.
  • O Internet Explorer nunca enviará automaticamente credenciais utilizando HTTP a servidores alojados na zona da Internet. Isto reduz o risco de as credenciais serem reencaminhadas ou reflectidas por um intruso dentro desta zona.
  • Para que um ataque de reflexão tenha êxito, tem de ser permitido tráfego de entrada para o sistema cliente. O vector de ataque mais comum é o SMB, uma vez que permite autenticação IWA. Os anfitriões por detrás de uma firewall que bloqueie tráfego SMB ou os anfitriões que bloqueiam tráfego SMB numa firewall de alojamento não se encontram vulneráveis aos ataques de reflexão NTLM mais comuns, que são dirigidos ao SMB.

Informações Gerais

Objectivo do Aviso: Clarificar as acções encetadas pela Microsoft para alargar a protecção das credenciais de utilizador quando é utilizada a Autenticação Integrada do Windows (IWA).

Estado do Aviso: Aviso publicado.

Recomendação:Verifique e configure as acções sugeridas adequadas.

ReferênciasIdentificação
Artigo da Base de Dados de Conhecimento da Microsoft 974926

Este aviso abrange o seguinte software.

Software Afectado
Windows XP Service Pack 2 e Windows XP Service Pack 3

Windows XP para sistemas baseados em x64 Service Pack 2

Windows Server 2003 Service Pack 2

Windows Server 2003 para sistemas baseados em x64 Service Pack 2

Windows Server 2003 para sistemas baseados em Itanium Service Pack 2, Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2

Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2

Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2

Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2

Windows Server 2008 para sistemas baseados em Itanium e Windows Server 2008 para sistemas baseados em Itanium Service Pack 2

Windows 7 para sistemas de 32 bits*

Windows 7 para sistemas baseados em x64*

Windows Server 2008 R2 para sistemas baseados em x64*

Windows Server 2008 R2 para sistemas baseados em Itanium*

*O Windows 7 e o Windows Server 2008 R2 fornecem Protecção de Autenticação Alargada como uma funcionalidade da Interface do Fornecedor de Suporte de Segurança (SSPI). As aplicações executadas nestas plataformas podem ainda encontrar-se expostas à retransmissão de credenciais se o sistema operativo ou a aplicação não se encontrarem configurados para suportar esta funcionalidade. A Protecção de Autenticação Alargada não se encontra activada por predefinição.

Qual é a abrangência deste aviso? 
Este aviso de segurança fornece uma perspectiva abrangente da estratégia aplicada pela Microsoft para protecção contra retransmissão de credenciais. Oferece uma visão geral das actualizações actualmente disponíveis para resolver esta questão de forma abrangente.

O que provoca esta ameaça? 
Este aviso aborda o potencial para retransmissão de autenticações. Estes ataques têm lugar quando um intruso consegue obter credenciais de autenticação, por exemplo, através de um ataque man-in-the-middle ou convencendo um utilizador a clicar numa ligação. Esta ligação pode fazer com que o cliente aceda a um serviço controlado pelo intruso que solicita a autenticação do utilizador através de IWA.

As formas de retransmissão de credenciais referidas neste aviso são:

  • Reencaminhamento de credenciais: as credenciais de domínio obtidas por um intruso podem ser utilizadas para iniciar sessão noutros serviços a que a vítima tenha acesso. O intruso pode então adquirir permissões idênticas às da vítima no serviço visado.
  • Reflexão de credenciais: as credenciais de domínio obtidas por um intruso podem ser utilizadas para iniciar sessão na máquina da vítima. O intruso poderia então adquirir permissões idênticas às da vítima nessa máquina.

Para que estes ataques possam ter sucesso, é necessário que um utilizador se ligue ao servidor do atacante. Isto pode ser conseguido por ataques que envolvam a presença do intruso na rede local, tais como a contaminação de cache do protocolo de resolução de endereços (ARP).

O impacto destes ataques aumenta quando um intruso convence um utilizador a estabelecer ligação a um servidor no exterior do limite da organização. Cenários específicos que podem levar a este cenário:

  • Devolução de DNS: uma funcionalidade do cliente DNS do Windows que permite a clientes DNS do Windows processar consultas DNS para nomes de alojamento simples não qualificados. Um utilizador malicioso poderia registar um nome de alojamento específico fora do limite da organização, que o cliente poderia contactar involuntariamente, caso os clientes estejam incorrectamente configurados, quando a devolução fosse efectuada fora do limite da organização ao tentar aceder a esse nome de alojamento.
  • Spoofing do DNS: um intruso a explorar vulnerabilidades no Sistema de Nomes de Domínio (DNS) do Windows que poderiam permitir spoofing. Estes ataques poderiam permitir que um intruso remoto redireccionasse tráfego de rede destinado a sistemas na Internet para o sistema do intruso.
  • Spoofing do Serviço de Nome NetBIOS (NBNS): o utilizador é aliciado a executar uma aplicação de código activo especialmente concebida para o efeito (por exemplo, Java ou Flash) que poderia iniciar uma consulta de um nome de alojamento local e, subsequentemente, introduzir respostas NBNS falsificadas no cliente com um endereço de IP remoto. Depois de estabelecer ligação a este nome de alojamento, o cliente iria considerar esta máquina como local e tentaria credenciais IWA, expondo-as deste modo ao intruso remoto.

A Microsoft lançou várias actualizações para ajudar a resolver estes cenários e este aviso procura resumir a melhor forma de avaliação de riscos e questões por parte dos clientes, atendendo aos respectivos cenários de implementação específicos.

O que é a Autenticação Integrada do Windows (IWA)?  
Com a Autenticação Integrada do Windows (previamente designada como NTLM e também conhecida como Autenticação Pergunta/Resposta do Windows NT), o nome de utilizador e a palavra-passe (credenciais) são convertidos antes de serem enviados através da rede. Ao activar a Autenticação Integrada do Windows, o cliente prova o seu conhecimento da palavra-passe através de uma troca criptográfica convertida com o servidor Web. A Autenticação Integrada do Windows inclui métodos de autenticação Negotiate, Kerberos e NTLM.

O que é um ataque man-in-the-middle?  
Um ataque man-in-the-middle ocorre quando um intruso redirecciona a comunicação entre dois utilizadores para passar pelo computador do intruso sem o conhecimento dos dois utilizadores que comunicam entre si. O intruso poderia monitorizar e ler o tráfego antes de o enviar para destinatário pretendido. Cada utilizador envolvido na comunicação envia e recebe, inadvertidamente, tráfego do intruso, acreditando sempre estar a comunicar apenas com o utilizador pretendido.

Que acções tomou a Microsoft para resolver os ataques de spoofing de DNS?  
A Microsoft lançou os seguintes boletins de segurança para resolver os ataques de spoofing de DNS:

  • O MS08-037 resolveu duas vulnerabilidades que poderiam permitir a um intruso falsificar registos DNS e inseri-los na cache do servidor de DNS.
  • O MS09-008 resolveu duas vulnerabilidades que poderiam permitir a um intruso falsificar registos DNS e inseri-los na cache do servidor DNS e duas vulnerabilidades que poderiam permitir a um intruso registar maliciosamente nomes de alojamento relacionados com a infra-estrutura de rede (WPAD e ISATAP), que poderiam ser utilizados para permitir mais ataques.

Que acções tomou a Microsoft para resolver os ataques de spoofing de NBNS?  
A Microsoft colaborou com outros fornecedores que foram afectados por esta vulnerabilidade e implementaram factores atenuantes contra este vector de ataque. Esta questão foi resolvida no Adobe Flash Player no Boletim de Segurança da Adobe APSB08-11 e no Sun Java Runtime Environment no Alerta Sun 103079.

O que é a contaminação de cache do protocolo de resolução de endereços (ARP)?  
A contaminação de cache de ARP é um ataque que consiste na presença de um computador do intruso na mesma sub-rede da vítima, enviando respostas ARP falsificadas ou fortuitas. Normalmente, estas respostas tentarão enganar os clientes para que acreditem que o intruso é o gateway predefinido na rede, o que resulta no envio de informação do computador da vítima para o intruso e não para o gateway. Esse ataque pode ser utilizado para configurar um ataque man-in-the-middle.

O que é o Transport Layer Security (TLS)? 
O Protocolo Handshake por Transport Layer Security (TLS) é responsável pela autenticação e troca de chaves necessárias para estabelecer ou restabelecer sessões seguras. Ao estabelecer uma sessão segura, o Protocolo Handshake gere o seguinte:

  • Negociação do conjunto de cifras
  • Autenticação do servidor e, opcionalmente, do cliente
  • Troca de informações das chaves de sessão

Para mais informações, consulte o artigo da TechNet sobre o Funcionamento da TLS/SSL.

Que versões do Windows estão associadas a este aviso? 
O reencaminhamento e reflexão de credenciais afecta todas as plataformas que têm a capacidade de executar a Autenticação Integrada do Windows. A funcionalidade de Protecção de Autenticação Alargada é incluída no Windows 7 e no Windows Server 2008 R2 e foi disponibilizada para o Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008 numa actualização não relacionada com segurança lançada como Aviso de Segurança 973881. Para proteger totalmente as credenciais de autenticação, algumas aplicações específicas nestas plataformas terão de continuar a permitir o mecanismo. A funcionalidade de Protecção Alargada não se encontra disponível para a plataforma Microsoft Windows 2000.

Que acções tomou a Microsoft para resolver os ataques de reflexão de credenciais?  
As aplicações encontram-se protegidas contra ataques de reflexão de credenciais se utilizarem devidamente o Nome do Principal do Serviço (SPN) ao procederem à autenticação em relação a um serviço.

Antes da publicação deste aviso de segurança, a Microsoft lançou as seguintes actualizações de segurança para assegurar que os componentes do Windows e as aplicações da Microsoft permitem este mecanismo de forma adequada, para proteger contra ataques de reflexão de credenciais:

  • O Boletim de Segurança da Microsoft MS08-068 resolveu a reflexão de credenciais ao ligar a um servidor SMB de um intruso.
  • O Boletim de Segurança da Microsoft MS08-076 resolveu a reflexão de credenciais ao ligar a um servidor Windows Media de um intruso.
  • O Boletim de Segurança da Microsoft MS09-013 resolveu a reflexão de credenciais ao ligar a um servidor Web de um intruso utilizando a Interface de Programação de Aplicações WinHTTP.
  • O Boletim de Segurança da Microsoft MS09-014 resolveu a reflexão de credenciais ao ligar a um servidor Web de um intruso utilizando a Interface de Programação de Aplicações WinINET.
  • O Boletim de Segurança da Microsoft MS09-042 resolveu a reflexão de credenciais ao ligar a um servidor telnet de um intruso.

Que acções tomou a Microsoft para resolver os ataques de reencaminhamento de credenciais?  
A Interface do Fornecedor de Suporte de Segurança do Windows (SSPI) fornece alguma protecção contra o reencaminhamento de credenciais. Esta interface foi implementada no Windows 7 e no Windows Server 2008 R2 e foi disponibilizada como uma actualização não relacionada com segurança para o Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008.

Para ficar protegido, terá de implementar futuras actualizações não relacionadas com segurança que fornecem esta mesma protecção para componentes e aplicações específicas ao cliente e servidor. Esta funcionalidade aplica alterações à autenticação tanto no cliente como no servidor e deve ser implementada com cuidado. Pode encontrar mais informações sobre a Protecção de Autenticação Alargada e as actualizações não relacionadas com segurança lançadas para implementar este mecanismo no Aviso de Segurança da Microsoft 973811.

Como é que estas actualizações resolvem os ataques de reencaminhamento de credenciais?  
A actualização não relacionada com segurança SSPI (Aviso de Segurança da Microsoft 973811) modifica o SSPI de forma a alargar o actual mecanismo de Autenticação Integrada do Windows (IWA), para que os pedidos de autenticação possam ser associados tanto ao SPN do servidor a que o cliente tenta ligar-se, como ao canal de Transport Layer Security (TLS) externo sobre o qual tem lugar a autenticação IWA, se tal canal existir. Esta é uma actualização base que não resolve uma vulnerabilidade de segurança por si, mas implementa este mecanismo como uma funcionalidade opcional que os fornecedores de aplicações podem optar por configurar.

As actualizações não relacionadas com segurança específicas de aplicações modificam componentes individuais do sistema que executam autenticação IWA, para permitir os mecanismos de protecção implementados pela actualização não relacionada com segurança de nível 1. Pode obter mais informações sobre como activar a Protecção de Autenticação Alargada, consulte o Aviso de Segurança da Microsoft 973999 e o Artigo 973999 da Base de Dados de Conhecimento da Microsoft correspondente.

Que acções tomou a Microsoft para resolver os ataques de devolução de DNS?  
A devolução de DNS pode ser utilizada como um vector de ataque para explorar esta vulnerabilidade fora de uma rede empresarial. A devolução é uma funcionalidade do cliente DNS do Windows que permite a clientes DNS do Windows processar consultas DNS para nomes de alojamento simples não qualificados. As consultas são construídas acrescentando o sufixo de DNS Primário (PDS) ao nome de alojamento. A consulta é repetida ao remover sistematicamente a etiqueta mais à esquerda no PDS até que o nome de alojamento e o PDS restante sejam resolvidos ou que restem apenas duas etiquetas no PDS repartido. Por exemplo, os clientes Windows que pesquisem "Single-label" no domínio "western.corp.contoso.co.us" irão procurar progressivamente "Single-label.western.corp.contoso.co.us", "Single-label.corp.contoso.co.us" e depois "Single-label.co.us" até encontrar um sistema que encontre a resolução. Este processo é denominado de "devolução".

Um intruso poderia alojar um sistema com um nome simples fora do limite da organização e, devido à devolução de DNS, poderia fazer com que um cliente DNS do Windows se ligasse ao referido sistema como se fosse interno ao limite organizacional. Por exemplo, se o sufixo DNS de uma empresa for "corp.contoso.co.us" e se for efectuada uma tentativa de processamento de um nome de alojamento não qualificado de "Single-Label", a resolução de DNS irá tentar o endereço "Single-Label.corp.contoso.co.us". Se não for encontrado, tentará processar o endereço "Single-label.contoso.co.us", através da devolução de DNS. Se não for encontrado, tentará processar o endereço "Single-label.co.us", que está fora do domínio "contoso.co.us". Este processo é denominado de "devolução".

Por exemplo, se o nome de alojamento for WPAD, um intruso que configurasse WPAD.co.us poderia fornecer um ficheiro malicioso de Detecção Automática do Proxy Web (Web Proxy Auto-Discovery) para configurar as definições de proxy do cliente.

A Microsoft lançou o Aviso de Segurança 971888 e uma actualização associada para fornecer às organizações maior controlo granular sobre a forma como os clientes Windows executam a devolução de DNS. Esta actualização permite a uma organização impedir que os clientes executem a devolução fora do limite da organização.

O que podem os programadores de outros fabricantes fazer para ajudar a resolver a retransmissão de credenciais?  
Os programadores de outros fabricantes podem considerar a hipótese de implementar a Protecção de Autenticação Alargada, permitindo este novo mecanismo de protecção descrito no Aviso de Segurança da Microsoft 973811.

Para obter mais informações sobre como os programadores podem permitir este mecanismo, consulte o artigo MSDN sobre Autenticação Integrada do Windows com Protecção Alargada.

O que é um Nome do Principal do Serviço (SPN)? 
Um nome do principal do serviço (SPN) é o nome pelo qual um cliente identifica exclusivamente uma instância de um serviço. Se instalar várias instâncias de um serviço em computadores numa rede, cada instância deve ter o seu próprio SPN. Uma determinada instância de serviço pode ter vários SPNs, se os utilizadores puderem utilizar vários nomes para autenticação. Por exemplo, um SPN inclui sempre o nome do computador anfitrião no qual a instância de serviço está a ser executada, para que uma instância de serviço possa registar um SPN para cada nome ou alias do respectivo anfitrião.

  • Consultar o Aviso de Segurança da Microsoft 9738 11 ("Protecção de Autenticação Alargada para o Windows") e implementar as actualizações associadas 
    Este aviso de segurança anuncia o lançamento de actualizações não relacionadas com segurança que implementam a Protecção de Autenticação Alargada. Esta funcionalidade ajuda a proteger tentativas de autenticação contra ataques de retransmissão.
  • Consultar o Aviso de Segurança da Microsoft 971888 ("Actualização para devolução de DNS") 
    Este aviso de segurança anuncia o lançamento de uma actualização opcional não relacionada com segurança que permite aos administradores de sistema configurarem a devolução de DNS com maior especificidade.
  • Consultar o Artigo da Base de Dados de Conhecimento da Microsoft que está associado a este aviso
    Os clientes que estiverem interessados em saber mais sobre este aviso de segurança devem consultar o Artigo 974926 da Base de Dados de Conhecimento da Microsoft.
  • Proteja o seu PC 
    Continuamos a aconselhar os clientes a seguirem os nossos conselhos para protegerem os seus computadores e activarem uma firewall, aplicarem actualizações de software e instalarem software antivírus. Os clientes poderão saber mais sobre estes passos em Proteja o Seu PC.
  • Para obter mais informações sobre como estar seguro na Internet, os clientes devem visitar o Centro de Segurança da Microsoft.
  • Manter o Windows actualizado 
    Todos os utilizadores do Windows devem aplicar as actualizações de segurança da Microsoft mais recentes para ajudar a garantir que os seus computadores estão o mais protegidos possível. Se não tiver a certeza se o seu software está actualizado, visite o Windows Update, procure actualizações disponíveis para o seu computador e instale todas as actualizações de prioridade elevada que lhe são oferecidas. Se tiver as Actualizações Automáticas activadas, as actualizações ser-lhe-ão entregues quando são lançadas, mas tem de se certificar de que as instala.

Soluções alternativas

Existem diversas soluções alternativas para ajudar a proteger os sistemas contra ataques de reflexão ou de reencaminhamento de credenciais. A Microsoft testou as seguintes soluções alternativas. Embora estas soluções alternativas não corrijam a vulnerabilidade subjacente, elas ajudam a bloquear vectores de ataque conhecidos. Na secção seguinte identificam-se os casos em que uma solução alternativa reduz a funcionalidade.

Bloqueio das portas TCP 139 e 445 na firewall

No caso de ataques de reflexão de credenciais, as ligações de entrada que utilizam as credenciais retransmitidas serão, muito provavelmente, efectuadas pelos serviços de SMB ou de RPC. O bloqueio das portas TCP 139 e 445 na firewall ajudará a impedir que os sistemas protegidos por essa firewall sejam atacados por tentativas de explorar esta vulnerabilidade. A Microsoft recomenda que bloqueie todas as comunicações de entrada não solicitadas a partir da Internet para ajudar a impedir ataques que possam utilizar outras portas. Para mais informações sobre portas, consulte Atribuição de portas TCP e UDP.

Impacto da Solução Alternativa: Vários serviços do Windows utilizam as portas afectadas. Bloquear a ligação às portas pode fazer com que diversas aplicações ou serviços não funcionem. Algumas das aplicações ou serviços que podem ser afectados encontram-se listados a seguir:

  • Aplicações que utilizam o SMB (CIFS)
  • Aplicações que utilizam mailslots ou encaminhamentos com nome (named pipes) (RPC sobre SMB)
  • Servidor (Partilha de Ficheiros e Impressoras)
  • Política de Grupos
  • Net Logon
  • Sistema de Ficheiros Distribuídos (DFS)
  • Terminal Server Licensing
  • Spooler de impressão
  • Browser de Computador
  • Localizador de Chamada de Procedimento Remoto
  • Serviço de Fax
  • Serviço de Indexação
  • Alertas e Registos de Desempenho
  • Systems Management Server
  • Serviço de Registo de Licenças

Activar assinatura SMB

A activação da assinatura SMB impede a execução de código por parte de um intruso no contexto do utilizador com sessão iniciada. A assinatura SMB fornece autenticação mútua e de mensagem, colocando uma assinatura digital em cada SMB, que será então verificada tanto pelo cliente como pelo servidor. A Microsoft recomenda a utilização de Políticas de Grupos para configurar a assinatura SMB.

Para obter instruções detalhadas sobre a utilização da Política de Grupos para activar e desactivar a assinatura SMB para o Microsoft Windows 2000, Windows XP e Windows Server 2003, consulte o Artigo 887429 da Base de Dados de Conhecimento da Microsoft. As instruções no Artigo 887429 da Base de Dados de Conhecimento da Microsoft para o Windows XP e Windows Server 2003 também se aplicam ao Windows Vista e Windows Server 2008.

Impacto da Solução Alternativa: A utilização da assinatura de pacotes SMB pode diminuir o desempenho das transacções de serviços de ficheiros. Os computadores que tenham esta política definida não irão comunicar com computadores que não tenham a assinatura de pacotes do lado do cliente activada. Para obter mais informações sobre a assinatura SMB e potenciais impactos, consulte Microsoft network server: Digitally sign communications (always).

Outras informações

Recursos:

Exclusão de garantia:

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões:

  • V1.0 (8 de Dezembro de 2009): Aviso publicado.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: