Microsoft Web Client NTLM Authentication Vulnerability Patch (Windows Me) Технические характеристики
|
Устраните уязвимость системы безопасности, которая может привести к раскрытию защищенных учетных данных для входа в систему
Клиент Web Extender (WEC) — это компонент, входящий в состав Office 2000, Windows 2000 и Windows Me. WEC позволяет IE просматривать и публиковать файлы через веб-папки, аналогично просмотру и добавлению файлов в каталог через проводник Windows. Из-за недостатка реализации WEC не учитывает параметры безопасности IE, касающиеся того, когда будет выполняться проверка подлинности NTLM. Вместо этого WEC будет выполнять аутентификацию NTLM на любом сервере, который ее запрашивает. Если пользователь установил сеанс с веб-сайтом злоумышленника, либо перейдя на сайт, либо открыв письмо в формате HTML, которое инициировало сеанс с ним, приложение на сайте могло перехватить учетные данные пользователя NTLM. Злоумышленник может затем использовать офлайн-атаку методом грубой силы для получения пароля или с помощью специальных инструментов может отправить вариант этих учетных данных в попытке получить доступ к защищенным ресурсам.