Microsoft, bir etki alanı denetleyicisini veya başka bir Windows sunucularını devralınan yeni Petitpotam NTLM röle saldırısı için azalttı.
Petitpotam, Fransız Güvenlik Araştırmacısı Gilles Lionel (Topotam) tarafından keşfedilen bir NTLM röle saldırısı yapmak için kullanılabilecek yeni bir yöntemdir. Bu yöntem bu hafta, konsept bir kanıtı (POC) komut dosyası ile birlikte açıklandı.
Yeni saldırı, etki alanı denetleyicileri de dahil olmak üzere bir cihazı, bir tehdit aktörünün kontrol ettiği bir uzak NTLM rölesinin kimliğini doğrulamak için Microsoft Şifreleme Dosya Sistemi Uzak Protokolü (EFSRPC) kullanır.
Bir cihaz kötü amaçlı bir NTLM sunucusuna doğrulandıktan sonra, bir tehdit aktörünün, cihazın kimliğini ve ayrıcalıklarını kabul etmek için kullanılabilecek hash ve sertifikaları çalabilir.
Petitpotam NTLM Röle saldırısının haberlerinden sonra, dün kırıldı, Microsoft, etki alanı denetleyicilerinde yeni tekniği kullanarak tehdit aktörlerine karşı savunacak kuruluşlar için önerilerde bir güvenlik danışmanlığı yayınladı.
Şirket, Petitpotam'a veya diğer röle saldırılarına maruz kalan kuruluşların, etki alanında NTLM kimlik doğrulamasına sahip olduğunu ve Sertifika Yetkilisi Web Kaydı veya Sertifika Kayıt Web Hizmeti ile Active Directory Sertifika Hizmetleri (AD CS) kullandığını söylüyor.
Bir Tweet'te bugünün başlarında, Microsoft, gerekli olmadığı NTLM'yi devre dışı bırakmanızı önerir. Etki alanı denetleyicileri veya Windows makinelerinde kimlik doğrulama mekanizması için genişletilmiş korumayı etkinleştirmek için.
Şirket ayrıca NTLM'li ağlarda, NTLM kimlik doğrulamasının, Windows 98'den beri mevcut olan SMB imzalaması gibi imzalama özelliklerini kullanmasına izin veren hizmetleri de önerir.
"Petitpotam, Active Directory Sertifika Hizmetlerinin (AD CS) NTLM Röle Saldırıları için Koruyucular ile yapılandırılmadığı sunuculardan yararlanıyor [KB5005413'te belirtildiği gibi) - Microsoft
Bununla birlikte, Petitpotam, MS-EFSRPC API'nin EFSRPCOPENFileraw işlevinin, kimlik doğrulama isteklerini geçmesi ve kapıyı diğer saldırılara açık bırakması için.
Microsoft'un danışması, NTLM röle saldırılarını önleme eylemi hakkında açıktır, ancak düzeltmek için bir güvenlik güncelleştirmesi gerekecek MS-EFSRPC API'sinin kötüye kullanılmaz.
Gilles Lionel, Petitpotam'ın Petitpotam'ın, bir şifreleme standardını (DES) kullanan NTLMV1'e indirgeme atakları gibi diğer ataklara izin verdiği söylendi.
Bir örnek olan Gilles Lionel, BleepingComputer'a, Veri Şifreleme Standardı (DES) kullanan NTLMV1'e (DES) - bir Şifreli 56 bit anahtar üretmeyi kolaylaştıran kısa, 56 bit anahtar üretimi kolaylaştıran bir güvensiz algoritma kullanan NTLMV1'e düşüren bir saldırıdır.
Bir saldırgan daha sonra yerel yönetici ayrıcalıklarına sahip makinelerdeki hesabı kullanabilir. Lionel, Exchange ve Microsoft System Center Configuration Manager (SCCM) sunucularının ortak bir senaryo olduğunu söylüyor.
Benjamin Delpy, eleştiriyi Microsoft'un Petitpotam'ı azaltmaya karar verdikten sonra, EFSRPC protokolünün danışmanlıkta bile belirtilmediğini vurguladı.
Petitpotam, Windows Server 2008'i 2019 yılına kadar etkiler. Microsoft'un danışmanlığı, tekniğin yine vahşi doğada sömürülmediğini ancak sömürünebilirlik seviyesi hakkında hiçbir değerlendirmesi olmadığını belirtmektedir.
Microsoft Temmuz 2021 Yama Salı Düzeltmeler 9 Sıfır Gün, 117 Kusurlar
Windows 10'da Yazdırma Biriktirici Güvenlik Açığı Nasıl Alaşılır?
Yeni Windows 10 KB5005394 Acil Güncelleme Baskı Sorunları Düzeltmesi
Microsoft'un Windows 10 oyun sorunları için düzeltme yakında geliyor
Windows 10 Temmuz Güvenlik Güncellemeleri Bazı Sistemlerde Yazdırmayı Yazdır
Kaynak: Bleeping Computer