Архитектура Active Directory в Windows подвержена уязвимости


AoratoИсследователи из компании Aorato рассказали, что архитектура Active Directory в Windows подвержена уязвимости, которая позволяет злоумышленникам получить доступ к корпоративным данным в течение 10 часов (максимальное время жизни билета пользователя) после удаления или отключенных учетной записи.

Отключенные учетные записи представляют риск для компаний и дают преимущества потенциальным хакерам. Проблема доступности ресурсов в течение 10 часов после удаления или отключения учетной записи вызвана использованием протокола Kerberos для аутентификации, который полагается исключительно на билеты.

Поскольку сверка данных валидности билета не осуществляется, удаленный или отключенный пользователь может использовать свой билет Kerberos для обращения к сетевым ресурсам. Получается, что на практике не представляется возможным осуществить одно из требований стандарта PCI DSS о немедленном отзыве привилегий на доступ к ресурсам для удаленных учетных записей.

К тому же, отследить неправомерный доступ к ресурсам для удаленной учетной записи через журналы событий и различные SIEM решения довольно проблематично, т.к. Windows отдельно не выделяет события использования билетов Kerberos.


Обновлено (07.05.2014 13:25)