PetitPotam؛ تکنیک جدید اجرای حملات NTLM Relay
یک محقق امنیتی، تکنیک جدیدی را برای اجرای حملات NTLM Relay کشف کرده که مهاجمان را قادر به در اختیار گرفتن کنترل Domain Controller و در عملا کل دامنه شبکه میکند.
این محقق، این تکنیک جدید را PetitPotam نامگذاری کرده است.
در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده جزییاتی در خصوص این تکنیک جدید ارائه شده است.
بسیاری از سازمانها از Microsoft Active Directory Certificate Services که یک سرویس به اصطلاح PKI است بهمنظور اصالتسنجی کاربران، سرویسها و دستگاهها در دامنههای تحت Windows استفاده میکنند.
در گذشته، محققان روشی را کشف کردند که یک سرور Domain Controller را وادار به تایید اعتبار یک NTLM Relay مخرب میکند. در نتیجه این اقدام، درخواست از طریق HTTP به Active Directory Certificate Services منتقل شده و با اعطای مجوز Kerberos Ticket Granting Ticket – به اختصار TGT – هویت هر دستگاه در شبکه از جمله سرور Domain Controller قابل جعل میشود.
برای مجبور کردن دستگاه به تایید اعتبار یک سرور از راه دور، مهاجم میتواند از تابع RpcRemoteFindFirstPrinterChangeNotification در MS-RPRN API استفاده کند. از سویی دیگر، Print Spooler سرویسی است که فرامین چاپ و سایر وظایف مربوط به آن را در Windows مدیریت میکند. مهاجمی که یک کاربر یا کامپیوتر تحت دامنه را کنترل میکند میتواند با فراخوانی یک RPC خاص، سرویس مذکور را بر روی دستگاه مقصد به نحوی فعال کند که با دستگاه مورد نظر مهاجم اصالتسنجی کند.
در صورت موفقیتآمیز بودن چنین حملهای، مهاجم قادر خواهد بود تا کنترل Domain Controller را در اختیار گرفته و هر فرمان دلخواه خود را در سطح دامنه به اجرا در آورد.
در عین حال تکنیک مذکور هیچگاه بهعنوان آسیبپذیری در نظر گرفته نشد و به دلیل عدم انتشار اصلاحیه امنیتی برای آن از سوی مایکروسافت برخی سازمانها MS-RPRN را غیرفعال کردهاند.
اما در هفته گذشته یک محقق فرانسوی، تکنیک جدیدی با عنوانPetitPotam را افشا کرد که در آن در زمان اجرای حمله NTLM Relay نه از MS-RPRN API که از تابع EfsRpcOpenFileRaw در MS-EFSRPC API سوءاستفاده میشود.
Microsoft Encrypting File System Remote Protocol یا همان MS-EFSRPC برای انجام عملیات نگهداری و مدیریت دادههای رمزگذاری شدهای که بهصورت از راه دور در بستر شبکه ذخیره و فراخوانی میشوند مورد استفاده قرار میگیرد.
این محقق برای اثبات ادعایش، اسکریپتی را برای نمایش عملکرد PetitPotam در GitHub منتشر کرده که میتواند با استفاده از MS-EFSRPC API یک Domain Controller را مجبور به تایید اعتبار Remote NTLM بالقوه مخرب کند.
او معتقد است که این مسئله را نمیتوان بهعنوان یک آسیبپذیری در نظر گرفت و همانند آن چهکه در MS-RPRN API شاهد بودهایم به نوعی سوءاستفاده از یک تابع معتبر است.
این محقق اظهار داشته که این تکنیک ممکن است برای حملات دیگر نیز مورد استفاده قرار بگیرد؛ برای مثال، انتقال فرایند اصالتسنجی SMB به یک سرور HTTP Certificate Enrollment نیز میتواند منجر به در اختیار گرفته شدن کنترل کامل Domain Controller شود.
محقق کاشف PetitPotam معتقد است که تنها راه مقابله با این حملات، غیرفعال کردن تایید اصالتسنجی NTLM یا فعال کردن محافظتهایی همچون امضای SMB، امضای LDAP و Channel Binding است.
بهنظر میرسد هیچ راهی برای غیرفعال کردن انتقال درخواستهای اصالت سنجی توسط EfsRpcOpenFileRaw وجود ندارد؛ ضمن آن که بررسیهای این محقق نشان میدهد که متوقف کردن سرویس EFS نیز مانع سوءاستفاده از این تکنیک نمیشود.
جزییات بیشتر در خصوص PetitPotam و نمونه کدهای بهرهجوی (PoC) منتشر شده در لینک زیر قابل دسترس است:
بهروزرسانی خبر:
شرکت مایکروسافت نیز با انتشار یک توصیهنامه ویژه به راهکارهای مقابله با PetitPotam پرداخته است.
در این توصیهنامه، اشاره شده برای مقابله با حملات NTLM Relay در شبکههایی که در آنها NTLM فعال شده، میبایست از سرویسهایی که اصالتسنجی NTLM بر روی آنها مجاز تلقی میشود توسط سازوکارهایی نظیر Extended Protection for Authentication – به اختصار EPA – یا SMB Signing حفاظت شود.
به گفته مایکروسافت، PetitPotam از سرورهایی که بر روی آنها، Active Directory Certificate Services – به اختصار AD CS – بدون لحاظ شدن راهکارهای حفاظتی در برای حملات NTLM Relay فعال است سوءاستفاده میکند.
در توصیهنامه مذکور تأکید شده هر سازمانی که در آن از اصالتسنجی NTLM در سطح دامنه و از AD CS به همراه هر یک از سرویسهای زیر استفاده شده باشد میتواند در برابر این گونه حملات آسیبپذیر باشد:
Certificate Authority Web Enrollment
Certificate Enrollment Web Service
توصیهنامه مایکروسافت و راهکارهای مقاومسازی ارائه از سوی این شرکت در لینک زیر قابل دریافت و مطالعه است:
با توجه به انتشار نمونههای PoC مطالعه توصیهنامه مذکور به تمامی راهبران توصیه میشود.