آسیب‌پذیری ویندوز سرورها در برابر حملات NTLM relay (PetitPotam)

آسیب‌پذیری ویندوز سرورها در برابر حملات NTLM relay (PetitPotam)

تاریخ ایجاد

اخیراً یک نقص امنیتی در سیستم‌عامل‌های ویندوزی یافت شده که به موجب آن مهاجم قادر است سیستم‌های ویندوزی آسیب‌پذیر به طور خاص ویندوز سرورها را هدف قرار داده و کنترل آن را بدست گیرد:

  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2016
  • Windows Server, version 20H2
  • Windows Server, version 2004
  • Windows Server 2019

این حمله که یک نوع حمله‌ی NTLM relay می‌باشد، به نام PetitPotam شناخته شده است. به‌طور کلی مهاجمان در حمله PetitPotam، از سرویس‌های موجود در دامنه که از احراز هویت NTLM استفاده می‌کنند و در برابر حملات NTML relay محافظت نشده‌اند، بهره‌برداری می‌کند.
‫مایکروسافت برای جلوگیری از این نوع حملات توصیه کرده است تا در سیستم‌ها به خصوص DCهایی که احراز هویت NTLM مورد استفاده قرار نگرفته است، NTLM غیرفعال شود؛ در صورت عدم امکان غیرفعال‌سازی، مدیران دامنه باید اطمینان حاصل کنند که هر سرویسی که از احراز هویت NTLM استفاده می‌کند با استفاده از مکانیزم EPA (Extended Protection for Authentication) یا SMB signing در برابر حملات مورد بحث و سرقت اعتبارنامه‌ی سیستم‌های ویندوزی محافظت شده‌ است.
به عنوان مثال یکی از سرویس‌هایی که به‌طور پیش‌فرض از احراز هویت NTLM استفاده می‌کند سرویس certificate اکتیو دایرکتوری یا ADCS (Active Directory Certificate Service) است که می‌تواند در این حملات مورد بهره‌برداری قرار گیرد. برای اطلاع از جزییات چگونگی محافظت از سرورهای ADCS در برابر حملات مذکور و کاهش مخاطرات آن، به پیوند زیر مراجعه کنید:

https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

به گفته‌ی مایکروسافت در صورتی که احراز هویت NTLM در دامنه فعال بوده و Certificate Service موجود در اکتیو دایرکتوری یا AD CS به همراه هر یک از سرویس‌های زیر استفاده شود، سیستم آسیب‌پذیر است:

  • Certificate Enrollment Web Service
  • Certificate Authority Web Enrollment

در اکثر موارد احراز هویت NTLM در شبکه فعال است و سرورهای AD CS نیز به طور پیش‌فرض در برابر حملات NTLM relay محافظت نشده‌اند. با توجه به اینکه اجرای موفق این حمله می‌تواند منجر به تحت کنترل گرفتن DC و در آخر کل شبکه سازمان شود، توصیه می‌شود در اسرع وقت نسبت به مقاوم‌سازی سرویس‌ها و سرورهای موجود در دامنه که از احراز هویت NTLM استفاده می‌کنند، اقدام کنید.

منابع:

https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

https://isc.sans.org/forums/diary/Active+Directory+Certificate+Services+ADCS+PKI+domain+admin+vulnerability/27668/

برچسب‌ها
اخبار
هشدارها و راهنمایی امنیتی
  • 61