آسیب‌پذیری ویندوز سرورها در برابر حملات NTLM RELAY (PETITPOTAM)

اخیراً یک نقص امنیتی در سیستم‌عامل‌های ویندوزی یافت شده که در این خبر به شرح این آسیب‌پذیری می پردازیم.

به موجب این آسیب‌پذیری ویندوز مهاجم قادر است سیستم‌های ویندوزی آسیب‌پذیر به طور خاص ویندوز سرورها را هدف قرار دهد.

لیست ویندوز های مورد حمله:

Windows Server 2012 R2
Windows Server 2012
Windows Server 2008
Windows Server 2008 R2
Windows Server 2016
Windows Server, version 20H2
Windows Server, version 2004
Windows Server 2019

این حمله که یک نوع حمله‌ی NTLM relay می‌باشد، به نام PetitPotam شناخته شده است.

به‌طور کلی مهاجمان در حمله PetitPotam، از سرویس‌های موجود در دامنه که از احراز هویت NTLM استفاده می‌کنند و در برابر حملات NTML relay محافظت نشده‌اند، بهره‌برداری می‌کند.

مایکروسافت برای جلوگیری از این نوع حملات توصیه کرده است تا در سیستم‌ها به خصوص DCهایی که احراز هویت NTLM مورد استفاده قرار نگرفته است، NTLM غیرفعال شود؛

در صورت عدم امکان غیرفعال‌سازی، مدیران دامنه باید اطمینان حاصل کنند که هر سرویسی که از احراز هویت NTLM استفاده می‌کند.

با استفاده از مکانیزم EPA (Extended Protection for Authentication) یا SMB signing در برابر حملات مورد بحث و سرقت اعتبارنامه‌ی سیستم‌های ویندوزی محافظت شده‌ است.

به عنوان مثال یکی از سرویس‌هایی که به‌طور پیش‌فرض از احراز هویت NTLM استفاده می‌کند سرویس certificate اکتیو دایرکتوری یا ADCS (Active Directory Certificate Service) است که می‌تواند در این حملات مورد بهره‌برداری قرار گیرد.

برای اطلاع از جزییات چگونگی محافظت از سرورهای ADCS در برابر حملات مذکور و کاهش مخاطرات آن، به پیوند زیر مراجعه کنید:

https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

به گفته‌ی مایکروسافت در صورتی که احراز هویت NTLM در دامنه فعال بوده و Certificate Service موجود در اکتیو دایرکتوری یا AD CS به همراه هر یک از سرویس‌های زیر استفاده شود، سیستم آسیب‌پذیر است:

Certificate Enrollment Web Service
Certificate Authority Web Enrollment

در اکثر موارد احراز هویت NTLM در شبکه فعال است و سرورهای AD CS نیز به طور پیش‌فرض در برابر حملات NTLM relay محافظت نشده‌است.

کارشناسان نسبت به آسیب‌پذیری ویندوز حتما اقدام نمایند.

با توجه به اینکه اجرای موفق این حمله می‌تواند منجر به تحت کنترل گرفتن DC و در آخر کل شبکه سازمان شود، توصیه می‌شود در اسرع وقت نسبت به مقاوم‌سازی سرویس‌ها و سرورهای موجود در دامنه که از احراز هویت NTLM استفاده می‌کنند، اقدام کنید.

https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

https://isc.sans.org/forums/diary/Active+Directory+Certificate+Services+ADCS+PKI+domain+admin+vulnerability/27668/

منبع:مرکزماهر

مطالعه بیشتر:

آلوده کردن سیستم کاربران با عرضه نسخه‌های جعلی از ویندوز 11

آسیب‌پذیری ویندوز سرورها در برابر حملات NTLM RELAY (PETITPOTAM)

اخیراً یک نقص امنیتی در سیستم‌عامل‌های ویندوزی یافت شده که در این خبر به شرح این آسیب‌پذیری می پردازیم.

کارشناسان نسبت به آسیب‌پذیری ویندوز حتما اقدام نمایند.

پاسخی بگذاریدانصراف از پاسخ

خدمات آدفا