Microsoft делится средствами защиты от новой ретрансляционной атаки PetitPotam NTLM

67
Microsoft: Июньские обновления Windows могут нарушить работу точек доступа Wi-Fi

Microsoft выпустила средства защиты от новой ретрансляционной атаки PetitPotam NTLM, которая позволяет захватить контроллер домена или другие серверы Windows.

PetitPotam — это новый метод, который можно использовать для проведения NTLM-ретрансляционной атаки, обнаруженный французским исследователем безопасности Жилем Лионелем ( Topotam ). Этот метод был раскрыт на этой неделе вместе со сценарием проверки концепции (PoC).

Новая атака использует удаленный протокол Microsoft Encrypting File System Remote Protocol ( EFSRPC ), чтобы заставить устройство, включая контроллеры домена, пройти аутентификацию на удаленном ретрансляторе NTLM, управляемом злоумышленником .

Как только устройство аутентифицируется на вредоносном сервере NTLM, злоумышленник может украсть хэш и сертификаты, которые могут использоваться для подтверждения личности устройства и его привилегий.

Смягчение ограничено контроллерами домена

После того, как вчера появилась новость об атаке PetitPotam NTLM relay , Microsoft опубликовала совет по безопасности с рекомендациями для организаций по защите от злоумышленников, использующих новую технику на контроллерах домена.

Компания заявляет, что организации, подверженные PetitPotam или другим ретрансляционным атакам, имеют NTLM-аутентификацию в домене и используют службы сертификатов Active Directory (AD CS) с веб-службой подачи заявок в центр сертификации или веб-службой регистрации сертификатов.

В сегодняшнем твите Microsoft рекомендует отключить NTLM там, где в этом нет необходимости, например на контроллерах домена, или включить механизм расширенной защиты для проверки подлинности для защиты учетных данных на компьютерах с Windows.

Компания также рекомендует в сетях с включенным NTLM, чтобы службы, позволяющие аутентификацию NTLM, использовали функции подписи, такие как подписывание SMB, которые были доступны с Windows 98.

«PetitPotam использует преимущества серверов, на которых службы сертификации Active Directory (AD CS) не настроены с защитой от атак NTLM Relay [как указано в KB5005413 ]» — Microsoft

Однако PetitPotam злоупотребляет функцией EfsRpcOpenFileRaw API MS-EFSRPC для передачи запросов аутентификации, оставляя дверь открытой для других атак.

В рекомендациях Microsoft четко описаны действия по предотвращению атак с ретрансляцией NTLM, но не рассматривается злоупотребление API MS-EFSRPC, для исправления которого потребуется обновление системы безопасности.

Жиль Лионель сказал BleepingComputer, что PetitPotam допускает другие атаки, такие как атака перехода на NTLMv1, использующая стандарт шифрования данных (DES) — небезопасный алгоритм из-за его короткого 56-битного ключа, который упрощает восстановление хэша пароля.

Один из примеров, как сказал Жиль Лайонел BleepingComputer, — это атака перехода на NTLMv1, использующая стандарт шифрования данных (DES) — небезопасный алгоритм из-за короткого 56-битного генерирования ключа, который упрощает восстановление хэша пароля.

Затем злоумышленник может использовать учетную запись на машинах, где у него есть права локального администратора. Лайонел говорит, что серверы Exchange и Microsoft System Center Configuration Manager ( SCCM ) являются обычным сценарием.

Бенджамин Делпи выразил критику в отношении того, как Microsoft решила смягчить последствия PetitPotam, подчеркнув, что протокол EFSRPC даже не упоминается в уведомлении.

PetitPotam влияет на Windows Server 2008 до 2019 года. В сообщении Microsoft отмечается, что этот метод еще не использовался в реальных условиях, но не дает оценки уровня уязвимости.

Последнее обновление 1 год назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии