PetitPotam؛ تکنیک جدید اجرای حملات NTLM Relay

یک محقق امنیتی، تکنیک جدیدی را برای اجرای حملات NTLM Relay کشف کرده است که مهاجمان را به در اختیار گرفتن کنترل Domain Controller و در عمل کل دامنه شبکه قادر می‌کند.
به گزارش مرکز مدیریت راهبردی افتا: این تکنیک جدید PetitPotam نام‌گذاری شده است.
بسیاری از سازمان‌ها از Microsoft Active Directory Certificate Services که یک سرویس به‌اصطلاح PKI است به‌منظور اصالت‌سنجی کاربران، سرویس‌ها و دستگاه‌ها در دامنه‌های تحت Windows استفاده می‌کنند.
درگذشته، محققان روشی را کشف کردند که یک سرور Domain Controller را وادار به تأیید اعتبار یک NTLM Relay مخرب می‌کند. در نتیجه این اقدام، درخواست از طریق HTTP  به Active Directory Certificate Services منتقل و بااعطای مجوز Kerberos Ticket Granting Ticket – به‌اختصار TGT – هویت هر دستگاه در شبکه از جمله سرور Domain Controller قابل جعل می‌شود.
برای مجبور کردن دستگاه به تأیید اعتبار یک سرور از راه دور، مهاجم می‌تواند از تابع RpcRemoteFindFirstPrinterChangeNotification در MS-RPRN API استفاده کند. از سویی دیگر، Print Spooler سرویسی است که فرمان‌های چاپ و سایر وظایف مربوط به آن را در Windows مدیریت می‌کند. مهاجمی که یک کاربر یا کامپیوتر تحت دامنه را کنترل می‌کند می‌تواند با فراخوانی یک RPC خاص، سرویس مذکور را بر روی دستگاه مقصد به نحوی فعال کند که با دستگاه موردنظر مهاجم اصالت‌سنجی کند.
در صورت موفقیت‌آمیز بودن چنین حمله‌ای، مهاجم قادر خواهد بود تا کنترل Domain Controller را در اختیار گرفته و هر فرمان دلخواه خود را در سطح دامنه به اجرا در آورد.
درعین‌حال تکنیک مذکور هیچ‌گاه به‌عنوان آسیب‌پذیری در نظر گرفته نشد و به دلیل عدم انتشار اصلاحیه امنیتی برای آن از سوی مایکروسافت برخی سازمان‌ها MS-RPRN را غیرفعال کرده‌اند.
اما در هفته گذشته یک محقق فرانسوی، تکنیک جدیدی با عنوان PetitPotam  را افشا کرد که در آن در زمان اجرای حمله NTLM Relay نه از MS-RPRN API بلکه از تابع EfsRpcOpenFileRaw در MS-EFSRPC API سوءاستفاده می‌شود.
Microsoft Encrypting File System Remote Protocol یا همان MS-EFSRPC برای انجام عملیات نگهداری و مدیریت داده‌های رمزگذاری شده‌ای استفاده می‌شود که به‌صورت از راه دور در بستر شبکه ذخیره و فراخوانی می‌شوند.
این محقق برای اثبات ادعایش، اسکریپتی را برای نمایش عملکرد PetitPotam در GitHub منتشر کرده است که می‌تواند با استفاده از MS-EFSRPC API یک Domain Controller را مجبور به تأیید اعتبار Remote NTLM بالقوه مخرب کند.
او معتقد است که این مسئله را نمی‌توان به‌عنوان یک آسیب‌پذیری در نظر گرفت و همانند آن چه که در MS-RPRN API شاهد بوده‌ایم به‌نوعی سوءاستفاده از یک تابع معتبر است.
این محقق اظهار داشته که این تکنیک ممکن است در حملات دیگر نیز استفاده شود؛ برای مثال، انتقال فرایند اصالت‌سنجی SMB به یک سرور HTTP Certificate Enrollment نیز می‌تواند منجر به در اختیار گرفته شدن کنترل کامل Domain Controller شود.
محقق کاشف PetitPotam معتقد است که تنها راه مقابله با این حملات، غیرفعال‌کردن تأیید اصالت‌سنجی NTLM یا فعال‌کردن محافظت‌هایی همچون امضای SMB، امضای LDAP و Channel Binding است.
به نظر می‌رسد هیچ راهی برای غیرفعال‌کردن انتقال درخواست‌های اصالت‌سنجی توسط EfsRpcOpenFileRaw وجود ندارد؛ ضمن آن که بررسی‌های این محقق نشان می‌دهد که متوقف کردن سرویس EFS نیز مانع سوءاستفاده از این تکنیک نمی‌شود.
جزئیات بیشتر در خصوص PetitPotam و نمونه کدهای بهره‌جوی (PoC) منتشر شده در لینک زیر قابل‌دسترس است:

https://www.bleepingcomputer.com/news/microsoft/new-petitpotam-attack-allows-take-over-of-windows-domains


منبع:

https://www.bleepingcomputer.com/news/microsoft/new-petitpotam-attack-allows-take-over-of-windows-domains

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.