DSECRG-11-018

Вендор

Kaspersky

Продукт

Kaspersky Administration Kit - с 6.0

Reported

22.01.2011

Date of Public Advisory

14.03.2011

Автор

Алексей Синцов

Детальное описание

Функция под названием Scan IP subnets включена в Kaspersky Administration Kit 6 по умолчанию. Она производит ICMP сканирование, а также пытается задействовать SMB протокол через сервисную учетную запись, которая может быть использована в целях атаки SMBrelay для получения полного контроля над защищенной сетью. По умолчанию Scan IP subnets сканирует подсети каждые 7 часов. Злоумышленнику нужно лишь запустить SMBrelay и ждать. Атака возможна ввиду того, что сервисная учетная запись Kaspersky имеет права администратора на хостах корпоративной сети. Это означает, что злоумышленник может атаковать любой сервер или машину, на которых у этой учетной записи есть права.

Решение
**********
1. Не запускать сервис Administration Server под учетной записью Domain Administrator или учетной записью члена группы локальных администраторов на других хостах. 
2. Отключить Scan IP subnets.