عکس‌العمل سریع ماکروسافت در ارائه راه‌کار حملات “PetitPotam”

microsoft-petitpotam-poc

ماکروسافت راه‌کار بازدارنده‌ای برای آسیب‌پذیری موجود در NT LAN Manager سیستم‌عامل ویندوز که سیستم کنترل از راه‌دور ویندوز را مجبور به آشکار کردن هش‌های رمزعبور می‌کند و در نتیجه این رمزها به راحتی  کرک‌پذیر می‌شوند، ارائه نمود.

ماکروسافت در ارائه راه‌کار برای حملاتی ملقب به “PetitPotam” که منجر به اجبار سیستم کنترل از راه دور ویندوز برای فاش کردن هش رمزهای عبور و در نتیجه کرک آن‌ها می‌شد، عکس‌العملی سریع داشت. همچنین توصیه ماکروسافت به ادمین‌های سیستم برای جلوگیری و خنثی کردن این حمله، استفاده نکردن از نسخه‌های منسوخ Windows NT LAN Manager است.

محقق امنیت Gilles Lionel، اولین بار این باگ را در روز پنج‌شنبه شناسایی کرد و همچنین برای اثبات این حمله کد اکسپلویت PoC آن را منتشر کرد. روز بعد، ماکروسافت توصیه‌ای شامل رفع اشکال برای محافظت از سیستم‌ها ارائه داد. باگ “PetitPotam” وابسته به سیستم‌عامل ویندوز و سؤاستفاده از پروتکل دسترسی از راه‌دور به نام Encrypting File System Remote Protocol (MS-EFSRPC) است. طراحی این پروتکل به گونه‌ای است که به سیستم‌های ویندوزی امکان دسترسی از راه‌دور به ذخیره‌سازی داده‌های رمزنگاری شده را داده و امکان مدیریت داده‌ها در زمان اعمال سیاست‌های کنترل دسترسی را می‌دهد.

حمله PetitPotam PoC، از گونه حملات Manipulator-in-the-middle بر علیه سیستم احراز هویت NTLM ماکروسافت است. مهاجم با استفاده از پروتکل اشتراک فایل Server Massage Block (SMB) درخواست دسترسی به رابط MS-EFSRPC از راه‌دور را می‌کند. به گفته Lionel، با این‌کار مهاجم رایانه هدف را مجبور به آغاز یک رویه احراز هویت می‌کند و سپس جزئیات احراز هویت خود را از طریق NTLM به اشتراک بگذارد.

پروتکل NTLM،یک پروتکل احراز هویت ناقص است، با این وجود برای پخش جزئیات احراز هویت استفاده می‌شود. یک مهاجم می‌تواند رمزهای عبور هش شده را جمع‌آوری کرده تا بعداً به سادگی به‌صورت آفلاین کرک شوند. انتقادات زیادی از سال 2010 زمانی که به عنوان یک پروتکل احراز هویت ناقص شناخته شد، به NTLM وارد شده است.
طبق گزارشات محققات Preempt در سال 2019، NTLM در معرض حملات Relay است، این حملات به مهاجم اجازه می‌دهند تا فرایند احراز هویت را ذخیره کند و آن را به سرور دیگری بازپخش (Relay) کند. در نتیجه مهاجم قادر به اجرای عملیات‌هایی بر روی Remote server به عنوان یک کاربر تایید شده، می‌باشد.

سناریو حمله

به گفته Lionel، این سناریو مشابه را می‌توان با حمله PetitPotam اجرا نمود. وی نشان داد که چه‌گونه می‌توان حمله PetitPotam را به سؤاستفاده از هدف قرار دادن Windows Active Directory Certificate Services (AD CS)، که قابلیت‌های کلید عمومی (PKI) را فراهم می‌کند، ختم کرد.
«مهاجم می‌تواند Domain Controller را هدف قرار دهد تا با استفاده از پروتکل MS-EFSRPC و سپس ارسال مجدد اعتبارات NTLM Domain Controller به صفحات Active Directory Certificate Web Services Enrollment Web، DC certificate خود را ثبت کند. این فرایند موثر است و به مهاجم یک گواهی احراز هویت می‌دهد که می‌تواند برای دسترسی به خدمات دامنه به عنوان کنترل کننده دامنه و به‌خطر انداختن کل دامنه مورد استفاده قرار گیرد.»

راه‌کارهای کاهش PetitPotam

در پاسخ به PoC منتشر شده، ماکروسافت سریعاً عکس‌العمل نشان داد و چندین راه‌کار برای کاهش خطر این حمله بیان کرد. برای مبتدیان، ماکروسافت توصیه دارد که احراز هویت NTLM را در Domain Controller ویندوز خود غیر فعال کنند. همچنین پیشنهاد می‌شود قابلیت Extended Protection For Authentication (EPA) را در سرویس‌های AD CS را فعال کنید.

به نقل از ماکروسافت: « برای جلوگیری از حملات NTLM Relay به شبکه‌های دارای NTLM فعال، ادمین‌های دامنه باید اطمینان حاصل کنند، سرویس‌هایی که اجازه احراز هویت NTLM را می‌دهند از محافظت‌هایی مانند Extended Protection For Authentication (EPA) یا ویژگی های امضا مانند امضای SMB استفاده کنند. PetitPotam از سرورهایی استفاده می‌کند که Active Directory Certificate Services برای حفاظت از حملاتNTLM Relay پیکربندی نشده است. راه‌هکارهای کاهش خطری که در KB5005413 ذکر شده است، به کاربران می‌آموزد که چه‌گونه از سرورهای AD CS خود در برابر چنین حملاتی محافظت کنند»

مایکروسافت همچنین افزود شرکت‌هایی که احراز هویت NTLM در دامنه‌های آن‌ها فعال باشد و یا از AD CS با خدمات “Certificate Authority Web Enrollment” و “Certificate Enrollment Web Service” استفاده می‌کنند، در معرض حمله PetitPotam قرار دارند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.