PetitPotam؛ تکنیک جدید اجرای حملات NTLM Relay

یک محقق امنیتی، تکنیک جدیدی را برای اجرای حملات NTLM Relay کشف کرده که مهاجمان را قادر به در اختیار گرفتن کنترل Domain Controller و در عملا کل دامنه شبکه می‌کند.

این محقق، این تکنیک جدید را PetitPotam نامگذاری کرده است.

در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده جزییاتی در خصوص این تکنیک جدید ارائه شده است.

بسیاری از سازمان‌ها از Microsoft Active Directory Certificate Services که یک سرویس به اصطلاح PKI است به‌منظور اصالت‌سنجی کاربران، سرویس‌ها و دستگاه‌ها در دامنه‌های تحت Windows استفاده می‌کنند.

در گذشته، محققان روشی را کشف کردند که یک سرور Domain Controller را وادار به تایید اعتبار یک NTLM Relay مخرب می‌کند. در نتیجه این اقدام، درخواست از طریق HTTP به Active Directory Certificate Services منتقل شده و با اعطای مجوز Kerberos Ticket Granting Ticket – به اختصار TGT – هویت هر دستگاه در شبکه از جمله سرور Domain Controller قابل جعل می‌شود.

برای مجبور کردن دستگاه به تایید اعتبار یک سرور از راه دور، مهاجم می‌تواند از تابع RpcRemoteFindFirstPrinterChangeNotification در MS-RPRN API استفاده کند. از سویی دیگر، Print Spooler سرویسی است که فرامین چاپ و سایر وظایف مربوط به آن را در Windows مدیریت می‌کند. مهاجمی که یک کاربر یا کامپیوتر تحت دامنه را کنترل می‌کند می‌تواند با فراخوانی یک RPC خاص، سرویس مذکور را بر روی دستگاه مقصد به نحوی فعال کند که با دستگاه مورد نظر مهاجم اصالت‌سنجی کند.

در صورت موفقیت‌آمیز بودن چنین حمله‌ای، مهاجم قادر خواهد بود تا کنترل Domain Controller را در اختیار گرفته و هر فرمان دلخواه خود را در سطح دامنه به اجرا در آورد.

در عین حال تکنیک مذکور هیچ‌گاه به‌عنوان آسیب‌پذیری در نظر گرفته نشد و به دلیل عدم انتشار اصلاحیه امنیتی برای آن از سوی مایکروسافت برخی سازمان‌ها MS-RPRN را غیرفعال کرده‌اند.

اما در هفته گذشته یک محقق فرانسوی، تکنیک جدیدی با عنوانPetitPotam  را افشا کرد که در آن در زمان اجرای حمله NTLM Relay نه از MS-RPRN API که از تابع EfsRpcOpenFileRaw در MS-EFSRPC API سوءاستفاده می‌شود.

Microsoft Encrypting File System Remote Protocol یا همان MS-EFSRPC برای انجام عملیات نگهداری و مدیریت داده‌های رمزگذاری شده‌ای که به‌صورت از راه دور در بستر شبکه ذخیره و فراخوانی می‌شوند مورد استفاده قرار می‌گیرد.

این محقق برای اثبات ادعایش، اسکریپتی را برای نمایش عملکرد PetitPotam در GitHub منتشر کرده که می‌تواند با استفاده از MS-EFSRPC API یک Domain Controller را مجبور به تایید اعتبار Remote NTLM بالقوه مخرب کند.

او معتقد است که این مسئله را نمی‌توان به‌عنوان یک آسیب‌پذیری در نظر گرفت و همانند آن چه‌که در MS-RPRN API شاهد بوده‌ایم به نوعی سوءاستفاده از یک تابع معتبر است.

این محقق اظهار داشته که این تکنیک ممکن است برای حملات دیگر نیز مورد استفاده قرار بگیرد؛ برای مثال، انتقال فرایند اصالت‌سنجی SMB به یک سرور HTTP Certificate Enrollment نیز می‌تواند منجر به در اختیار گرفته شدن کنترل کامل Domain Controller شود.

محقق کاشف PetitPotam معتقد است که تنها راه مقابله با این حملات، غیرفعال کردن تایید اصالت‌سنجی NTLM یا فعال کردن محافظت‌هایی همچون امضای SMB، امضای LDAP و Channel Binding است.

به‌نظر می‌رسد هیچ راهی برای غیرفعال کردن انتقال درخواست‌های اصالت سنجی توسط EfsRpcOpenFileRaw وجود ندارد؛ ضمن آن که بررسی‌های این محقق نشان می‌دهد که متوقف کردن سرویس EFS نیز مانع سوءاستفاده از این تکنیک نمی‌شود.

جزییات بیشتر در خصوص PetitPotam و نمونه کدهای بهره‌جوی (PoC) منتشر شده در لینک زیر قابل دسترس است:

https://www.bleepingcomputer.com/news/microsoft/new-petitpotam-attack-allows-take-over-of-windows-domains

به‌روزرسانی خبر:

شرکت مایکروسافت نیز با انتشار یک توصیه‌نامه ویژه به راهکارهای مقابله با PetitPotam پرداخته است.

در این توصیه‌نامه، اشاره شده برای مقابله با حملات NTLM Relay در شبکه‌هایی که در آنها NTLM فعال شده، می‌بایست از سرویس‌هایی که اصالت‌سنجی NTLM بر روی آنها مجاز تلقی می‌شود توسط سازوکارهایی نظیر Extended Protection for Authentication – به اختصار EPA – یا SMB Signing حفاظت شود.

به گفته مایکروسافت، PetitPotam از سرورهایی که بر روی آنها، Active Directory Certificate Services – به اختصار AD CS – بدون لحاظ شدن راهکارهای حفاظتی در برای حملات NTLM Relay فعال است سوءاستفاده می‌کند.

در توصیه‌نامه مذکور تأکید شده هر سازمانی که در آن از اصالت‌سنجی NTLM در سطح دامنه و از AD CS به همراه هر یک از سرویس‌های زیر استفاده شده باشد می‌تواند در برابر این گونه حملات آسیب‌پذیر باشد:

Certificate Authority Web Enrollment

Certificate Enrollment Web Service

توصیه‌نامه مایکروسافت و راهکارهای مقاوم‌سازی ارائه از سوی این شرکت در لینک زیر قابل دریافت و مطالعه است:

https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

با توجه به انتشار نمونه‌های PoC مطالعه توصیه‌نامه مذکور به تمامی راهبران توصیه می‌شود.