Deze patch verwijdert een beveiligingslek in Microsoft Windows 2000. Het beveiligingslek kan een kwaadwillende gebruiker in staat om herhaalde pogingen gebruiken om een wachtwoord, zelfs als de domeinbeheerder een account lockout beleid had gesteld raden.
Een fout in de manier waarop NTLM-verificatie werkt in Windows 2000 kan leiden tot een domeinnaam accountvergrendelingsbeleid worden overgeslagen op een lokale Windows 2000 machine, zelfs als de domeinbeheerder een dergelijk beleid had gesteld. Het vermogen van een kwaadwillende gebruiker om het domein accountvergrendelingsbeleid voorkomen kan de dreiging van een brute force-wachtwoord raden aanval te verhogen.
Dit beveiligingslek treft alleen Windows 2000 machines die lid zijn van de niet-Windows 2000-domeinen. Daarnaast is het beveiligingslek treft alleen domein user accounts die eerder hebben aangemeld bij de doelcomputer en al in de cache opgericht op die machine referenties. Als een domeinnaam accountvergrendelingsbeleid is op zijn plaats en een aanvaller probeert een brute force wachtwoord raden aanval, zal het domein account geblokkeerd zoals verwacht op de domeincontroller. Echter, als de aanvaller in staat is te vinden van het juiste wachtwoord, de lokale Windows 2000 machine zal de aanvaller zich aanmelden met caching geloofsbrieven in strijd met de accountvergrendelingsbeleid. Hoewel de aanvaller in staat om in te loggen op de lokale machine zou zijn, zou hij of zij niet in staat zijn om te verifiëren bij het domein of toegang tot bronnen op andere machines in het domein te krijgen.
Reacties niet gevonden