Спецпроекты

ПО Софт Безопасность Стратегия безопасности Маркет

В Windows, Linux и macOS найдена «дыра» возрастом 21 год

В протоколе Kerberos, используемом в Windows, Linux и macOS, найдена уязвимость, возраст которой составляет 21 год. Главный недостаток протокола — чрезмерное использование простого текста. Уязвимость позволяет брать метаданные из него, а не из зашифрованной части. Из-за широкого распространения протокола многим софтверным компаниям пришлось срочно делать патчи.

Уязвимость в Kerberos

В сетевом протоколе аутентификации Kerberos обнаружена уязвимость, просуществовавшая там 21 год. Протокол предназначен для взаимной аутентификации сервера и клиента. Поскольку Kerberos широко применяется производителями ПО, найденная «дыра» опасна для операционных систем Microsoft и Apple, а также дистрибутивов Linux. Уязвимость была обнаружена исследователями безопасности Джеффри Альтманом (Jeffrey Altman), Виктором Духовны (Viktor Duchovni) и Нико Вильямсом (Nico Williams).

Исследователи назвали найденную уязвимость Orpheus Lyre («Лира Орфея»). В греческой мифологии звуки лиры прославленного певца Орфея могли усыпить трехглавого пса Цербера, в честь которого был назван сам протокол Kerberos.

Технические особенности

Вместо того, чтобы использовать публичные ключи шифрования из авторизованных сертификацмонных центров, Kerberos применяет ключи из доверенного центра распространения ключей (KDC). Такие центры пользуются краткосрочными мандатами, предназначенными для аутентификации пользователя в конкретном сервисе. Зашифрованная часть мандата содержит имя пользователя, метаданные и ключ сеанса. Центр также предоставляет клиенту ключ сеанса, созданный аутентификатором, который пользователь использует как подтверждение.

Протокол Kerberos предназначен для взаимной аутентификации сервера и клиента

Один из главных недостатков Kerberos — использование слишком большого количества неавторизованного простого текста в протоколе. В результате ошибка в двух строках кода привела к тому, что метаданные могут быть взяты из простого текста мандата, а не из зашифрованного ответа KDC.

Благодаря этому становится возможной атака типа «человек посередине», в ходе которой злоумышленник может удаленно украсть учетные данные пользователя, повысить свои привилегии в системе и взломать шифрование Kerberos. Завладев мандатом, из которого сервер может извлечь ключ сеанса, и ключом аутентификатора, хакер может действовать от имени пользователя. Исследователи отмечают, что пропатчить уязвимость со стороны сервера сложно, это лучше делить со стороны устройства клиента.

Сфера распространения

Протокол Kerberos используется в Active Directory — службе каталогов Microsoft для ОС семейства Windows Server. Вчера Microsoft выпустила патч, закрывший Orpheus Lyre.

Операционные системы Debian и FreeBSD и пакет ПО Samba также уязвимы перед Orpheus Lyre, поскольку используют Kerberos 5, реализованный в открытом защитном ПО Heimdal. Heimdal уязвим для Orpheus Lyre до версии 7.4.

Реализация Kerberos в macOS тоже позволяет атаковать систему Apple через эту уязвимость. Из дистрибутивов Linux уязвимым оказался Fedora. Все компании уже создали обновления, защищающие их продукты от этой угрозы.

Изначально Kerberos разрабатывался в Массачусетском технологическом институте (MIT), первая его версия появилась в 1983 г. Исследователи, нашедшие  Orpheus Lyre, сообщают, что в том варианте протокола, который используется институтом, уязвимости нет.

Валерия Шмырова

Короткая ссылка