یک محقق امنیتی، تکنیک جدیدی را برای اجرای حملات NTLM Relay کشف کرده است که مهاجمان را به در اختیار گرفتن کنترل Domain Controller و در عمل کل دامنه شبکه قادر میکند.
به گزارش مرکز مدیریت راهبردی افتا: این تکنیک جدید PetitPotam نامگذاری شده است.
بسیاری از سازمانها از Microsoft Active Directory Certificate Services که یک سرویس بهاصطلاح PKI است بهمنظور اصالتسنجی کاربران، سرویسها و دستگاهها در دامنههای تحت Windows استفاده میکنند.
درگذشته، محققان روشی را کشف کردند که یک سرور Domain Controller را وادار به تأیید اعتبار یک NTLM Relay مخرب میکند. در نتیجه این اقدام، درخواست از طریق HTTP به Active Directory Certificate Services منتقل و بااعطای مجوز Kerberos Ticket Granting Ticket – بهاختصار TGT – هویت هر دستگاه در شبکه از جمله سرور Domain Controller قابل جعل میشود.
برای مجبور کردن دستگاه به تأیید اعتبار یک سرور از راه دور، مهاجم میتواند از تابع RpcRemoteFindFirstPrinterChangeNotification در MS-RPRN API استفاده کند. از سویی دیگر، Print Spooler سرویسی است که فرمانهای چاپ و سایر وظایف مربوط به آن را در Windows مدیریت میکند. مهاجمی که یک کاربر یا کامپیوتر تحت دامنه را کنترل میکند میتواند با فراخوانی یک RPC خاص، سرویس مذکور را بر روی دستگاه مقصد به نحوی فعال کند که با دستگاه موردنظر مهاجم اصالتسنجی کند.
در صورت موفقیتآمیز بودن چنین حملهای، مهاجم قادر خواهد بود تا کنترل Domain Controller را در اختیار گرفته و هر فرمان دلخواه خود را در سطح دامنه به اجرا در آورد.
درعینحال تکنیک مذکور هیچگاه بهعنوان آسیبپذیری در نظر گرفته نشد و به دلیل عدم انتشار اصلاحیه امنیتی برای آن از سوی مایکروسافت برخی سازمانها MS-RPRN را غیرفعال کردهاند.
اما در هفته گذشته یک محقق فرانسوی، تکنیک جدیدی با عنوان PetitPotam را افشا کرد که در آن در زمان اجرای حمله NTLM Relay نه از MS-RPRN API بلکه از تابع EfsRpcOpenFileRaw در MS-EFSRPC API سوءاستفاده میشود.
Microsoft Encrypting File System Remote Protocol یا همان MS-EFSRPC برای انجام عملیات نگهداری و مدیریت دادههای رمزگذاری شدهای استفاده میشود که بهصورت از راه دور در بستر شبکه ذخیره و فراخوانی میشوند.
این محقق برای اثبات ادعایش، اسکریپتی را برای نمایش عملکرد PetitPotam در GitHub منتشر کرده است که میتواند با استفاده از MS-EFSRPC API یک Domain Controller را مجبور به تأیید اعتبار Remote NTLM بالقوه مخرب کند.
او معتقد است که این مسئله را نمیتوان بهعنوان یک آسیبپذیری در نظر گرفت و همانند آن چه که در MS-RPRN API شاهد بودهایم بهنوعی سوءاستفاده از یک تابع معتبر است.
این محقق اظهار داشته که این تکنیک ممکن است در حملات دیگر نیز استفاده شود؛ برای مثال، انتقال فرایند اصالتسنجی SMB به یک سرور HTTP Certificate Enrollment نیز میتواند منجر به در اختیار گرفته شدن کنترل کامل Domain Controller شود.
محقق کاشف PetitPotam معتقد است که تنها راه مقابله با این حملات، غیرفعالکردن تأیید اصالتسنجی NTLM یا فعالکردن محافظتهایی همچون امضای SMB، امضای LDAP و Channel Binding است.
به نظر میرسد هیچ راهی برای غیرفعالکردن انتقال درخواستهای اصالتسنجی توسط EfsRpcOpenFileRaw وجود ندارد؛ ضمن آن که بررسیهای این محقق نشان میدهد که متوقف کردن سرویس EFS نیز مانع سوءاستفاده از این تکنیک نمیشود.
جزئیات بیشتر در خصوص PetitPotam و نمونه کدهای بهرهجوی (PoC) منتشر شده در لینک زیر قابلدسترس است:
منبع:
دیدگاه شما