Windows, Linux и macOS расплачиваются за криптографический изъян протокола Kerberos

Обнаружившие возможность обхода Kerberos назвали эту давнюю ошибку «Лира Орфея» (Orpheus Lyre). В древнегреческом мифе музыкант Орфей сумел пройти мимо Цербера (Cerberos), трехглавого пса, охранявшей вход в Аид, усыпив его игрой на лире.

Протокол Kerberos, названный так по созвучию с именем Цербера, используется для криптографической аутентификации в таких продуктах, как Microsoft Active Directory. Недавно Microsoft исправила ошибку в рассылаемых по вторникам обновлениях.

Samba, Debian и FreeBSD тоже затронуты ошибкой благодаря Heimdal — варианту Kerberos V5 с открытым исходным кодом. Heimdal уязвим до версии 7.4. Похоже, что реализация Kerberos в Apple macOS также подвержена Orpheus Lyre, а реализация MIT — нет.

Orpheus Lyre обнаружили Джеффри Альтман, Виктор Духовны и Нико Вильямс. Они поясняют, что эта ошибка может быть использована при атаке типа «человек посередине» для удаленного хищения полномочий и повышения с их помощью привилегии для преодоления шифрования Kerberos.