حمله PetitPotam چیست؟ یک حملهی NTLM (New Technology LAN Manager) Relay جدید به نام PetitPotam کشف شده است که به عاملان تهدید توانایی کنترل یک Domain controller و در نتیجهی آن کل دامنه Windows را میدهد. سازمانهای بسیاری از Microsoft Active Directory Certificate Services استفاده میکنند که یک سرور زیرساخت کلیدی عمومی یا PKI است که میتوان آن را برای احراز هویت کاربران، خدمات و ماشینها روی یک دامین ویندوز مورد استفاده قرار داد.
درگذشته، مهندسان روشی را کشف کردند که یک کنترلر دامین را مجبور میکرد در مقابل یک NTLM Relay مخرب احراز هویت نماید که درخواست را از طریق HTTP به Active Directory Certificate دامین Forward میکرد. نهایتاً مهاجم به یک Kerberos Ticket Granting Ticket یا TGT دسترسی مییافت که به او این توانایی را میداد که هویت هر دستگاهی از جمله کنترلر دامین را روی شبکه بهعهده بگیرد. برای اینکه دستگاه مجبور شود احراز هویت را روی یک سرور از راه دور انجام دهد، مهاجم میتواند از عملکرد RpcRemoteFindFirstPrinterChangeNotification برای MS-RPRN Printing API استفاده نماید.
Print Spooler متعلق به مایکروسافت سرویسی است که به کارهای پرینت و Taskهایی که به پرینت مربوط هستند رسیدگی میکند. مهاجمی که یک کاربر یا رایانهی دامین را با یک تماس RPC بهخصوص کنترل کند، سرویس Spooler را از یک هدف که آن را اجرا میکند فعال کرده و باعث میشود که در هدف انتخابی مهاجم، احراز هویت انجام دهد. این ایراد یک won’t fix است و بهصورت پیشفرض روی تمام محیطهای ویندوز فعال میباشد. اگر این حمله موفقیتآمیز باشد، مهاجم میتواند کنترلر دامین را بدست بگیرد و هر دستوری را که بخواهد اجرا کند و عملاً دامین ویندوز را تحت کنترل خود درآورد. از آنجاییکه این حمله افشا شده است، بسیاری از سازمانها MS-RPRN را غیرفعال کردهاند تا مسیر حمله را بلاک نمایند.
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید. |
معرفی حمله PetitPotam
حمله PetitPotam چیست؟ GILLES Lionel معروف به Topotam، پژوهشگر امنیتی فرانسوی تکنیک جدیدی به نام PetitPotam را افشا کرد که یک حملهی NTLM Relay را اجرا مینماید که متکی به MS-RPRN API نیست، بلکه از عملکرد EfsRpcOpenFileRaw در MS-EFSRPC API استفاده میکند.
MS-EFSRPC یک Encrypting File System Remote Protocol متعلق به مایکروسافت است که برای اجرای عملیات نگهداری و مدیریت روی دادههای رمزگذاریشده مورد استفاده قرار میگیرد که از راه دور ذخیره شده و روی یک شبکه در دسترس هستند. Lionel یک اسکریپت Proof-of-Concept را برای تکنیک PetitPotam برای GitHub منتشر کرده است که میتوان آن را مورد استفاده قرار داد تا یک کنترلر دامین را مجبور کرد که در مقابل یک NTLM از راه دور تحت کنترل یک مهاجم با استفاده از MS-EFSRPC API، احراز هویت کند.
بیشتر بخوانید: 10 راهکار امنیتی برای جلوگیری حملات سایبری در سال 2021
Lionel در گفتگویی که با BleepingComputer در مورد روش حملهی Relay جدید داشت بیان کرد، که این روش را نه یک آسیبپذیری، بلکه سوءاستفاده از یک عملکرد قانونی میداند. از دید من، این یک آسیبپذیری نیست، بلکه سوءاستفاده از یک عملکرد قانونی است. مثلاً عملکردهایی که نباید از حساب کاربری ماشینی مثلPrinterbug ، برای احراز هویت استفاده کنند.
Lionel بیان داشت که بهعلاوهی احراز هویت SMB برای Relay کردن حمله به یک سرور HTTP Certificate که امکان کنترل کامل کنترلر دامین را فراهم میکند، میتوان از آن برای حملات دیگر نیز استفاده کرد. این حملات شامل NTLMv1 Downgrade و حساب کاربری ماشین Relay روی رایانههایی است که این حساب کاربری ماشینی در آنها ادمین Local میباشد مثلاً SCCM، Exchange Server معمولاً در چنین شرایطی هستند. تنها راه رفع خطر این تکنیک، غیرفعال کردن احراز هویت NTLM یا فعالسازی حفاظتها، مثل SMB Signing ،LDAP Signing و Channel Binding است.
Benjamin Delpy، پژوهشگر امنیتی و خالق Mimikatz که حملهی PetitPotam را تست کرده است نیز، راهکارهای زیر را پیشنهاد کرد.
برای حل مشکل، میتوان گزینههای زیر را مدنظر داشت:
- حذف Web Enroll (نیازی به آن نیست، میتوان از RPC استفاده کرد)
- حذف یا غیرفعال کردن Nego/NTLM و استفاده از Kerberos
- استفاده از Extended Protection برای احراز هویت با SSL (زیرا PKI WebServer بهصورت پیشفرض یک Certificate ندارد…)
بیشتر بخوانید: نگاهی به پیش بینی های تهدیدات و حملات سایبری در سال 2021 – قسمت اول
متأسفانه هیچ راهی برای غیرفعال کردن EfsRpcOpenFileRaw از اینکه جهت Relay کردن درخواستهای احراز هویت مورداستفاده قرار بگیرد وجود ندارد. Lionel اظهار داشت که متوقف کردن سرویس EFS از Exploit شدن این تکنیک جلوگیری نمیکند. مایکروسافت اعلامیهای را در مورد PetitPotam و نحوهی کاهش ریسک حملات NTML Relay منتشر کرده است.
حمله PetitPotam چیست؟ آیا خطرناک است
از زمان انتشار PetitPotam پژوهشگران امنیتی بهسرعت PoC و تأثیرگذاری آن را تست کردهاند. Rémi Escourrou در گفتگویی به BleepingComputer اعلام کرد، در حقیقت هیچ راهی برای بلاک کردن PetitPotam وجود ندارد، اما میتوان سرویس HTTP از PKI را تقویت نمود تا از NTLM Relay اجتناب گردد.
