Đây là cách bảo vệ mạng của bạn trước cuộc tấn công chuyển tiếp PetitPotam

Một vấn đề bảo mật mới đang gây rắc rối cho các quản trị viên mạng công ty sau khi nhà nghiên cứu bảo mật người Pháp Gilles Lionel tiết lộ một cuộc tấn công chuyển tiếp NTLM mới cho phép tin tặc chiếm quyền điều khiển miền hoặc các máy chủ Windows khác.

Được đặt tên là PetitPotam, cuộc tấn công đã được tiết lộ cách đây vài ngày, cho phép với mã Proof of Concept.

Hi all,
MS-RPRN để ép buộc xác thực máy là rất tốt nhưng dịch vụ này thường bị vô hiệu hóa bởi quản trị viên trên hầu hết các tổ chức hiện nay.
Đây là một cách khác mà chúng tôi sử dụng để lấy ra xác thực tài khoản máy thông qua MS-EFSRPC. Vui thích!! 🙂https://t.co/AGiS4f6yt8

- topotam (@ topotam77) 18 Tháng Bảy, 2021

Việc khai thác sử dụng Giao thức từ xa hệ thống tệp mã hóa của Microsoft (EFSRPC) để buộc một thiết bị, bao gồm bộ điều khiển miền, xác thực với một chuyển tiếp NTLM từ xa độc hại, sau đó có thể được sử dụng để ăn cắp mã băm và chứng chỉ cũng như giả định danh tính của thiết bị thực và đặc quyền.

Tuy nhiên, Microsoft không quá lo lắng khi nói rằng:

Microsoft đã biết về PetitPotam có thể được sử dụng trong một cuộc tấn công vào bộ điều khiển miền Windows hoặc các máy chủ Windows khác. PetitPotam là một đòn tấn công tiếp sức NTLM cổ điển, và các cuộc tấn công như vậy đã được Microsoft ghi nhận trước đây cùng với nhiều tùy chọn giảm thiểu để bảo vệ khách hàng. Ví dụ, xem Cố vấn Bảo mật của Microsoft 974926.

Để ngăn chặn các cuộc tấn công chuyển tiếp NTLM trên các mạng đã bật NTLM, quản trị viên miền phải đảm bảo rằng các dịch vụ cho phép xác thực NTLM sử dụng các biện pháp bảo vệ như Bảo vệ mở rộng để xác thực (EPA) hoặc ký các tính năng như ký SMB. PetitPotam tận dụng lợi thế của các máy chủ mà Dịch vụ Chứng chỉ Active Directory (AD CS) không được định cấu hình với các biện pháp bảo vệ đối với Tấn công Chuyển tiếp NTLM. Các biện pháp giảm nhẹ được nêu trong KB5005413 hướng dẫn khách hàng cách bảo vệ máy chủ AD CS của họ khỏi các cuộc tấn công như vậy.

Bạn có thể dễ bị tấn công này nếu xác thực NTLM được bật trong miền của bạn và bạn đang sử dụng Dịch vụ chứng chỉ Active Directory (AD CS) với bất kỳ dịch vụ nào sau đây:

• Đăng ký web của tổ chức phát hành chứng chỉ
• Dịch vụ web đăng ký chứng chỉ

Do đó, giải pháp đơn giản là tắt NTLM khi không cần thiết, chẳng hạn như Bộ điều khiển miền hoặc bật cơ chế Bảo vệ mở rộng để xác thực hoặc bật xác thực NTLM để sử dụng các tính năng ký như ký SMB.

Giống như PrintNightmare, đây có thể chỉ là chương đầu tiên trong câu chuyện PetitPotam, vì Gilles Lionel đã nói với BleepingComputer rằng PetitPotam cho phép các cuộc tấn công khác, chẳng hạn như cuộc tấn công hạ cấp xuống NTLMv1 sử dụng Tiêu chuẩn mã hóa dữ liệu (DES) - một thuật toán không an toàn do ngắn , Thế hệ khóa 56-bit giúp dễ dàng khôi phục băm mật khẩu, cho phép tấn công leo thang đặc quyền cục bộ.

Microsoft cũng đã không giải quyết giao thức EFSRPC được sử dụng trong cuộc tấn công.

Đọc lời khuyên của Microsoft tại đâyvà thêm tại BleepingComputer.