Một lỗ hổng bảo mật mới có tên PetitPotam được phát hiện trong hệ điều hành Windows có thể được khai thác để buộc các máy chủ Windows từ xa, bao gồm Domain Controllers, xác thực các máy khách độc hại thông qua chức năng MS-EFSRPC EfsRpcOpenFileRaw. Điều này cho phép kẻ tấn công thực hiện một cuộc tấn công NTLM relay và chiếm hoàn toàn Windows Domains.
MS-EFSRPC là một giao thức mã hóa tệp tin hệ thống từ xa của Microsoft dùng để thực hiện bảo trì và quản lý dữ liệu mã hóa được lưu trữ từ xa và truy cập qua mạng.
Cụ thể, cuộc tấn công cho phép Domain Controllers xác thực NTLM từ xa bằng cách sử dụng giao diện MS-EFSRPC và chia sẻ thông tin xác thực của nó. Điều này được thực hiện bằng cách kết nối với LSARPC, dẫn đến tình huống máy chủ đích kết nối với một máy chủ tùy ý và thực hiện xác thực NTLM.
Việc vô hiệu hóa hỗ trợ MS-EFSRPC không ngăn cuộc tấn công hoạt động, Microsoft đã đưa ra các biện pháp giảm nhẹ cho vấn đề này, đồng thời mô tả "PetitPotam" là một dạng "tấn công chuyển tiếp NTLM cổ điển".
Để ngăn chặn các cuộc tấn công NTLM Relay, quản trị viên phải đảm bảo rằng các dịch vụ cho phép xác thực NTLM sử dụng các biện pháp bảo vệ như Extended Protection for Authentication (EPA), SMB signing.
Để bảo vệ trước tấn công này, khuyến nghị người dùng nên tắt xác thực NTLM trên domain controller. Trong trường hợp không thể tắt NTLM, khuyến cáo người dùng thực hiện một trong hai bước dưới đây:
- Vô hiệu hóa NTLM trên bất kỳ máy chủ AD nào trong domain của bạn, sử dụng group policy Network security: “Restrict NTLM: Incoming NTLM traffic”
- Vô hiệu hóa NTLM cho IIS trên máy chủ AD chạy dịch vụ "Certificate Authority Web Enrollment" hoặc "Certificate Enrollment Web Service" services.
PetitPotam đánh dấu sự cố bảo mật lớn thứ ba của Windows được tiết lộ trong tháng qua sau lỗ hổng PrintNightmare và SeriousSAM (hay còn gọi là HiveNightmare).
Nguồn: thehackernews.com
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
