ماکروسافت راهکار بازدارندهای برای آسیبپذیری موجود در NT LAN Manager سیستمعامل ویندوز که سیستم کنترل از راهدور ویندوز را مجبور به آشکار کردن هشهای رمزعبور میکند و در نتیجه این رمزها به راحتی کرکپذیر میشوند، ارائه نمود.
ماکروسافت در ارائه راهکار برای حملاتی ملقب به “PetitPotam” که منجر به اجبار سیستم کنترل از راه دور ویندوز برای فاش کردن هش رمزهای عبور و در نتیجه کرک آنها میشد، عکسالعملی سریع داشت. همچنین توصیه ماکروسافت به ادمینهای سیستم برای جلوگیری و خنثی کردن این حمله، استفاده نکردن از نسخههای منسوخ Windows NT LAN Manager است.
محقق امنیت Gilles Lionel، اولین بار این باگ را در روز پنجشنبه شناسایی کرد و همچنین برای اثبات این حمله کد اکسپلویت PoC آن را منتشر کرد. روز بعد، ماکروسافت توصیهای شامل رفع اشکال برای محافظت از سیستمها ارائه داد. باگ “PetitPotam” وابسته به سیستمعامل ویندوز و سؤاستفاده از پروتکل دسترسی از راهدور به نام Encrypting File System Remote Protocol (MS-EFSRPC) است. طراحی این پروتکل به گونهای است که به سیستمهای ویندوزی امکان دسترسی از راهدور به ذخیرهسازی دادههای رمزنگاری شده را داده و امکان مدیریت دادهها در زمان اعمال سیاستهای کنترل دسترسی را میدهد.
حمله PetitPotam PoC، از گونه حملات Manipulator-in-the-middle بر علیه سیستم احراز هویت NTLM ماکروسافت است. مهاجم با استفاده از پروتکل اشتراک فایل Server Massage Block (SMB) درخواست دسترسی به رابط MS-EFSRPC از راهدور را میکند. به گفته Lionel، با اینکار مهاجم رایانه هدف را مجبور به آغاز یک رویه احراز هویت میکند و سپس جزئیات احراز هویت خود را از طریق NTLM به اشتراک بگذارد.
پروتکل NTLM،یک پروتکل احراز هویت ناقص است، با این وجود برای پخش جزئیات احراز هویت استفاده میشود. یک مهاجم میتواند رمزهای عبور هش شده را جمعآوری کرده تا بعداً به سادگی بهصورت آفلاین کرک شوند. انتقادات زیادی از سال 2010 زمانی که به عنوان یک پروتکل احراز هویت ناقص شناخته شد، به NTLM وارد شده است.
طبق گزارشات محققات Preempt در سال 2019، NTLM در معرض حملات Relay است، این حملات به مهاجم اجازه میدهند تا فرایند احراز هویت را ذخیره کند و آن را به سرور دیگری بازپخش (Relay) کند. در نتیجه مهاجم قادر به اجرای عملیاتهایی بر روی Remote server به عنوان یک کاربر تایید شده، میباشد.
سناریو حمله
به گفته Lionel، این سناریو مشابه را میتوان با حمله PetitPotam اجرا نمود. وی نشان داد که چهگونه میتوان حمله PetitPotam را به سؤاستفاده از هدف قرار دادن Windows Active Directory Certificate Services (AD CS)، که قابلیتهای کلید عمومی (PKI) را فراهم میکند، ختم کرد.
«مهاجم میتواند Domain Controller را هدف قرار دهد تا با استفاده از پروتکل MS-EFSRPC و سپس ارسال مجدد اعتبارات NTLM Domain Controller به صفحات Active Directory Certificate Web Services Enrollment Web، DC certificate خود را ثبت کند. این فرایند موثر است و به مهاجم یک گواهی احراز هویت میدهد که میتواند برای دسترسی به خدمات دامنه به عنوان کنترل کننده دامنه و بهخطر انداختن کل دامنه مورد استفاده قرار گیرد.»
راهکارهای کاهش PetitPotam
در پاسخ به PoC منتشر شده، ماکروسافت سریعاً عکسالعمل نشان داد و چندین راهکار برای کاهش خطر این حمله بیان کرد. برای مبتدیان، ماکروسافت توصیه دارد که احراز هویت NTLM را در Domain Controller ویندوز خود غیر فعال کنند. همچنین پیشنهاد میشود قابلیت Extended Protection For Authentication (EPA) را در سرویسهای AD CS را فعال کنید.
به نقل از ماکروسافت: « برای جلوگیری از حملات NTLM Relay به شبکههای دارای NTLM فعال، ادمینهای دامنه باید اطمینان حاصل کنند، سرویسهایی که اجازه احراز هویت NTLM را میدهند از محافظتهایی مانند Extended Protection For Authentication (EPA) یا ویژگی های امضا مانند امضای SMB استفاده کنند. PetitPotam از سرورهایی استفاده میکند که Active Directory Certificate Services برای حفاظت از حملاتNTLM Relay پیکربندی نشده است. راههکارهای کاهش خطری که در KB5005413 ذکر شده است، به کاربران میآموزد که چهگونه از سرورهای AD CS خود در برابر چنین حملاتی محافظت کنند»
مایکروسافت همچنین افزود شرکتهایی که احراز هویت NTLM در دامنههای آنها فعال باشد و یا از AD CS با خدمات “Certificate Authority Web Enrollment” و “Certificate Enrollment Web Service” استفاده میکنند، در معرض حمله PetitPotam قرار دارند.
