Η Microsoft δημοσίευσε μια συμβουλευτική και λεπτομερείς οδηγίες σχετικά με τον τρόπο προστασίας των ελεγκτών τομέα των Windows και άλλων διακομιστών των Windows από το NTLM Relay Attack, γνωστό ως PetitPotam.
Η επίθεση PetitPotam στο NTLM Relay ανακαλύφθηκε την περασμένη εβδομάδα από τον Γάλλο ερευνητή ασφαλείας Gilles Lionel, όπως αναφέρθηκε για πρώτη φορά από το The Record. Το εργαλείο που δημοσιεύτηκε από τον Lionel μπορεί να “εξαναγκάσει τους κεντρικούς υπολογιστές των Windows να κάνουν έλεγχο ταυτότητας σε άλλους υπολογιστές μέσω της λειτουργίας MS-EFSRPC EfsRpcOpenFileRaw”, εξηγεί.
Με άλλα λόγια, η επίθεση μπορεί να κάνει έλεγχο ταυτότητας ενός απομακρυσμένου διακομιστή Windows με έναν εισβολέα και να μοιραστεί διαπιστευτήρια και πιστοποιητικά ελέγχου ταυτότητας Microsoft NTLM.
Η Microsoft σημειώνει ότι το PetitPotam “είναι ένα κλασικό NTLM Relay Attack” που περιγράφει σε μια συμβουλή ασφαλείας ασφαλείας του 2009, η οποία λέει “μπορεί ενδεχομένως να χρησιμοποιηθεί σε μια επίθεση σε ελεγκτές τομέα των Windows ή σε άλλους διακομιστές των Windows.”
Λέει ότι οι πελάτες ενδέχεται να είναι ευάλωτοι στο PetitPotam εάν ο έλεγχος ταυτότητας NTLM είναι ενεργοποιημένος σε έναν τομέα και η υπηρεσία Active Directory Certificate Services (AD CS) χρησιμοποιείται με την υπηρεσία εγγραφής ιστού αρχής έκδοσης πιστοποιητικών ή την υπηρεσία Web εγγραφής πιστοποιητικών (Certificate Authority Web Enrollment or Certificate Enrollment Web Service. ).
Για να αποφευχθούν οι επιθέσεις αναμετάδοσης NTLM που πληρούν αυτές τις προϋποθέσεις, η Microsoft συμβουλεύει τους διαχειριστές τομέα να διασφαλίσουν ότι οι υπηρεσίες που επιτρέπουν τον έλεγχο ταυτότητας NTLM πρέπει να “χρησιμοποιούν προστασίες όπως εκτεταμένη προστασία για έλεγχο ταυτότητας (EPA) ή λειτουργίες υπογραφής, όπως υπογραφή SMB”.
“Το PetitPotam εκμεταλλεύεται διακομιστές όπου οι υπηρεσίες έκδοσης πιστοποιητικών Active Directory (AD CS) δεν έχουν διαμορφωθεί με προστασία για επιθέσεις αναμετάδοσης NTLM,” σημειώνει η Microsoft στο ADV210003.
Η Microsoft έχει παράσχει πιο λεπτομερείς οδηγίες περιορισμού σε ξεχωριστό άρθρο KB, KB5005413. Ο “προτιμώμενος περιορισμός” της Microsoft απενεργοποιεί τον έλεγχο ταυτότητας NTLM σε έναν ελεγκτή τομέα των Windows.
Αλλά έχει επίσης λεπτομερείς και γραφικές οδηγίες για εναλλακτικούς μετριασμούς, εάν δεν είναι δυνατό να απενεργοποιήσετε τον έλεγχο ταυτότητας NTLM σε έναν τομέα. “Παρατίθενται κατά σειρά πιο ασφαλή σε λιγότερο ασφαλή” , σημειώνει.