#windows #exploit
Хватит уже Qwerty
Active Directory Federated Services позволяет перебирать пользователей. Определять, существует ли пользователь, по времени ответа. Microsoft пока вроде не согласился, что это уязвимость. И включение в CVE на рассмотрении. Но наверно включат. И мы то понимаем, какой риск получения пароля, если у атакующего в наличии большой пул учеток.
Разница в задержке ответа сервера для существующих и несуществующих учеток значительна, впрочем это зависит от размера базы пользователей. Так что нужно сначала замерить время ответа для заведомо существующей и несуществующей учеток. Источник, пример и подробное описание незамысловатого действа: https://github.com/binary1985/VulnerabilityDisclosure/blob/master/ADFS-Timing-Attack
Пока нет исправления, такие вот дела. Лишний повод напомнить юзерам про сложность паролей.
Хватит уже Qwerty
Active Directory Federated Services позволяет перебирать пользователей. Определять, существует ли пользователь, по времени ответа. Microsoft пока вроде не согласился, что это уязвимость. И включение в CVE на рассмотрении. Но наверно включат. И мы то понимаем, какой риск получения пароля, если у атакующего в наличии большой пул учеток.
Разница в задержке ответа сервера для существующих и несуществующих учеток значительна, впрочем это зависит от размера базы пользователей. Так что нужно сначала замерить время ответа для заведомо существующей и несуществующей учеток. Источник, пример и подробное описание незамысловатого действа: https://github.com/binary1985/VulnerabilityDisclosure/blob/master/ADFS-Timing-Attack
Пока нет исправления, такие вот дела. Лишний повод напомнить юзерам про сложность паролей.