## Яндекс закрывает критический вектор NTLM relay через MSSQL: EPA приходит в FreeTDS и go-mssqldb
Команда Security Engineering Яндекса устранила уязвимость, при которой атакующий мог перехватить NTLM-аутентификацию при подключении к MSSQL и перенаправить её на контролируемый сервер — классическая схема NTLM relay. Особую остроту проблеме придаёт контекст: MSSQL используется как хранилище данных для SCCM (System Center Configuration Manager), одного из ключевых инструментов управления инфраструктурой. Нарушение контроля над SCCM означает потенциальную компрометацию всей инфраструктуры через единую точку входа.

Стандартный механизм защиты от таких атак — EPA (Extended Protection for Authentication). Он проверяет привязку канала между клиентом и сервером, не позволяя перенаправить перехваченные учётные данные. Однако реализовать EPA на стороне клиента оказалось невозможно без доработки популярных библиотек FreeTDS и go-mssqldb, которые используются Linux- и Windows-сервисами для подключения к MSSQL. Инженер по информационной безопасности Булат Гафуров подробно описал процесс добавления поддержки EPA в оба проекта с сохранением обратной совместимости.

Внедрение EPA позволяет перевести защиту MSSQL в режим Require на стороне сервера, блокируя подключения без расширенной проверки подлинности. Для организаций, зависящих от FreeTDS и go-mssqldb, это означает возможность закрыть NTLM relay как потенциальный вектор без потери работоспособности сервисов. Опубликованный код уже доступен в репозиториях open-source.
---
- **Source**: Habr
- **Sector**: The Lab
- **Tags**: EPA, FreeTDS, go-mssqldb, NTLM relay, MSSQL
- **Credibility**: unverified
- **Published**: 2026-05-12 08:48:22
- **ID**: 82145
- **URL**: https://whisperx.ai/en/intel/82145