کمیته رکن چهارم – به دلیل وجود نقص امنیتی، ویندوز سرورها در برابر حملاتی از نوع NTLM relay به نام PETITPOTAM آسیبپذیرند.
اخیراً یک نقص امنیتی در سیستمعاملهای ویندوزی یافت شده که به موجب آن مهاجم قادر است سیستمهای ویندوزی آسیبپذیر به طور خاص ویندوز سرورها را هدف قرار داده و کنترل آن را در دست گیرد.
Windows Server ۲۰۱۲ R۲
Windows Server ۲۰۱۲
Windows Server ۲۰۰۸
Windows Server ۲۰۰۸ R۲
Windows Server ۲۰۱۶
Windows Server, version ۲۰H۲
Windows Server, version ۲۰۰۴
Windows Server ۲۰۱۹
این حمله که یک نوع حمله NTLM relay است، به نام PetitPotam شناخته شده است. بهطور کلی مهاجمان در حمله PetitPotam، از سرویسهای موجود در دامنه که از احراز هویت NTLM استفاده میکنند و در برابر حملات NTML relay محافظت نشدهاند، بهرهبرداری میکند.
مایکروسافت برای جلوگیری از این نوع حملات توصیه کرده است تا در سیستمها به خصوص DCهایی که احراز هویت NTLM مورد استفاده قرار نگرفته است، NTLM غیرفعال شود؛ در صورت عدم امکان غیرفعالسازی، مدیران دامنه باید اطمینان حاصل کنند که هر سرویسی که از احراز هویت NTLM استفاده میکند با استفاده از مکانیزم EPA (Extended Protection for Authentication) یا SMB signing در برابر حملات مورد بحث و سرقت اعتبارنامهی سیستمهای ویندوزی محافظت شده است.
به عنوان مثال یکی از سرویسهایی که بهطور پیشفرض از احراز هویت NTLM استفاده میکند سرویس certificate اکتیو دایرکتوری یا ADCS (Active Directory Certificate Service) است که میتواند در این حملات مورد بهرهبرداری قرار گیرد.
به گفتهی مایکروسافت در صورتی که احراز هویت NTLM در دامنه فعال بوده و Certificate Service موجود در اکتیو دایرکتوری یا AD CS به همراه هر یک از سرویسهای زیر استفاده شود، سیستم آسیبپذیر است:
Certificate Enrollment Web Service
Certificate Authority Web Enrollment
در اکثر موارد احراز هویت NTLM در شبکه فعال است و سرورهای AD CS نیز به طور پیشفرض در برابر حملات NTLM relay محافظت نشدهاند. با توجه به اینکه اجرای موفق این حمله میتواند منجر به تحت کنترل گرفتن DC و در آخر کل شبکه سازمان شود، توصیه میشود در اسرع وقت نسبت به مقاومسازی سرویسها و سرورهای موجود در دامنه که از احراز هویت NTLM استفاده میکنند، اقدام کنید.
منبع : مرکز ماهر
