Η Microsoft κυκλοφόρησε μέτρα μετριασμού για την πρόσφατα ανακαλυφθείσα επίθεση PetitPotam NTLM που θα μπορούσε να επιτρέψει σε χάκερς να αναλάβουν έναν ελεγκτή domain. Πριν λίγες μέρες, ο ερευνητής ασφαλείας Gilles Lionel (γνωστός και ως Topotam) ανακάλυψε μια ευπάθεια στο λειτουργικό σύστημα Windows που επιτρέπει σε έναν εισβολέα να αναγκάσει απομακρυσμένες συσκευές Windows να μοιραστούν τα password hashes τους μαζί του.
Κατά την επίθεση, παραβιάζεται το πρωτόκολλο Απομακρυσμένου συστήματος αρχείων κρυπτογράφησης (EFSRPC), το οποίο χρησιμοποιείται για την εκτέλεση εργασιών συντήρησης και διαχείρισης κρυπτογραφημένων δεδομένων που αποθηκεύονται απομακρυσμένα.
Η τεχνική του PetitPotam μπορεί ενδεχομένως να επηρεάσει τις περισσότερες από τις υποστηριζόμενες εκδόσεις των Windows, ενώ δοκιμάστηκε με επιτυχία σε συστήματα Windows 10, Windows Server 2016 και Windows Server 2019.
Ο Lionel δημοσίευσε επίσης ένα τεκμήριο απόδειξης (PoC) στο GitHub.
Διαβάστε επίσης: Microsoft: Προειδοποιεί τους χρήστες των Windows για νέα απάτη!
Στην επίθεση PetitPotam που επέδειξε ο ειδικός, έστειλε αιτήματα SMB στο MS-EFSRPC interface ενός απομακρυσμένου συστήματος και ανάγκασε το σύστημά του να ξεκινήσει μια διαδικασία ελέγχου ταυτότητας και να μοιραστεί το NTLM authentication hash.
Το NTLM authentication hash μπορεί να χρησιμοποιηθεί για τη διεξαγωγή μιας επίθεσης αναμετάδοσης (relay) ή μπορεί να “σπάσει” για να αποκτήσει τον κωδικό πρόσβασης του θύματος. Η επίθεση PetitPotam μπορεί να είναι πολύ επικίνδυνη, δεδομένου ότι επιτρέπει στους εισβολείς να αναλάβουν έναν ελεγκτή domain και να παραβιάσουν ολόκληρο τον οργανισμό.
Μετά την αποκάλυψη της τεχνικής της επίθεσης PetitPotam, η Microsoft δημοσίευσε μια συμβουλευτική ασφαλείας που περιλαμβάνει μέτρα μετριασμού για αυτήν την επίθεση. Η εταιρεία επεσήμανε ότι το PetitPotam είναι μια κλασική επίθεση αναμετάδοσης NTLM, μια κατηγορία επίθεσης που έχει τεκμηριωθεί βαθιά από τον τεχνολογικό κολοσσό. Η Microsoft δηλώνει ότι οι διαχειριστές domain πρέπει να προστατεύσουν υπηρεσίες που επιτρέπουν τον έλεγχο ταυτότητας NTLM, προκειμένου να αποτραπούν οι επιθέσεις αναμετάδοσης NTLM σε δίκτυα με ενεργοποιημένο το NTLM.
Δείτε ακόμη: LemonDuck: Η Microsoft προειδοποιεί για το cryptomining malware που στοχεύει Windows και Linux
«Η Microsoft γνωρίζει το PetitPotam που μπορεί ενδεχομένως να χρησιμοποιηθεί σε μια επίθεση σε ελεγκτές domain των Windows ή σε άλλους Windows servers. Το PetitPotam είναι μια κλασική επίθεση NTLM και τέτοιες επιθέσεις έχουν προηγουμένως τεκμηριωθεί από τη Microsoft μαζί με πολλές επιλογές μετριασμού για την προστασία των πελατών. Για παράδειγμα, ανατρέξτε στις Συμβουλές ασφαλείας της Microsoft 974926. Για να αποφευχθούν οι επιθέσεις αναμετάδοσης NTLM σε δίκτυα με ενεργοποιημένο το NTLM, οι διαχειριστές domain πρέπει να διασφαλίσουν ότι οι υπηρεσίες που επιτρέπουν τον έλεγχο ταυτότητας NTLM χρησιμοποιούν προστασία, όπως η Εκτεταμένη προστασία για έλεγχο ταυτότητας (EPA) ή δυνατότητες υπογραφής, όπως η υπογραφή SMB. Το PetitPotam εκμεταλλεύεται servers όπου οι υπηρεσίες έκδοσης πιστοποιητικών Active Directory (AD CS) δεν έχουν ρυθμιστεί με προστασία για επιθέσεις αναματάδοσης NTLM. Οι μετριασμοί που περιγράφονται στο KB5005413 δίνουν οδηγίες στους πελάτες σχετικά με τον τρόπο προστασίας των AD CS servers από τέτοιες επιθέσεις.»
Οργανισμοί που έχουν ενεργοποιημένο τον έλεγχο ταυτότητας NTLM στο domain τους και που χρησιμοποιούν τις υπηρεσίες πιστοποιητικού Active Directory (AD CS) με οποιαδήποτε από τις ακόλουθες υπηρεσίες:
- Εγγραφή Web αρχής έκδοσης πιστοποιητικών
- Υπηρεσία Web εγγραφής πιστοποιητικών
είναι περισσότερο εκτεθειμένοι.
Πρόταση: Microsoft: Προειδοποιεί για νέα ευπάθεια στο Windows Print Spooler
Η Microsoft συνιστά να απενεργοποιήσετε το NTLM εάν δεν είναι απαραίτητο ή να ενεργοποιήσετε τον μηχανισμό Extended Protection for Authentication για την προστασία των credentials σε υπολογιστές Windows. Ωστόσο, ειδικοί επέκριναν τα μέτρα μετριασμού που κοινοποίησε η Microsoft, επειδή δεν αντιμετωπίζει ρητά την κατάχρηση του πρωτοκόλλου EFSRPC.
Πηγή πληροφοριών: securityaffairs.co
