کد خبر:265276
پ
حملات سایبری
پژواک گزارش می‌دهد:

شناسایی تکنیک جدید برای مقابله با حملات سایبری

به تازگی یک تکنیک جدید برای مقابله با حملات سایبری کشف شده است.

به تازگی یک تکنیک جدید برای مقابله با حملات سایبری کشف شده است.

 

*** حملات سایبری

 

به گزارش پژواک، مهاجمان سایبری با اجرای حملاتی معروف به NTLM Relay ، کنترل Domain Controller (کنترل کننده دامنه) و کل دامنه شبکه را در اختیار می‌گیرند.

مهاجمان پس از کنترل Domain Controller و در اختیار گرفتن کل دامنه شبکه، هر فرمان دلخواه خود را در سطح دامنه به اجرا در می‌آورند.

 

بسیاری از سازمان‌ها از Microsoft Active Directory Certificate Services که یک سرویس به‌اصطلاح PKI است به‌منظور اصالت‌سنجی کاربران، سرویس‌ها و دستگاه‌ها در دامنه‌های تحت Windows استفاده می‌کنند.

درگذشته، محققان روشی را کشف کردند که یک سرور Domain Controller را وادار به تأیید اعتبار یک NTLM Relay مخرب می‌کند.

در نتیجه این اقدام، درخواست از طریق HTTP  به Active Directory Certificate Services منتقل و بااعطای مجوز Kerberos Ticket Granting Ticket – به‌اختصار TGT – هویت هر دستگاه در شبکه از جمله سرور Domain Controller قابل جعل می‌شود.

 

برای مجبور کردن دستگاه به تأیید اعتبار یک سرور از راه دور، مهاجم می‌تواند از تابع RpcRemoteFindFirstPrinterChangeNotification در MS-RPRN API استفاده کند.

از سویی دیگر، Print Spooler سرویسی است که فرمان‌های چاپ و سایر وظایف مربوط به آن را در Windows مدیریت می‌کند.

 

مهاجمی که یک کاربر یا کامپیوتر تحت دامنه را کنترل می‌کند می‌تواند با فراخوانی یک RPC خاص، سرویس مذکور را بر روی دستگاه مقصد به نحوی فعال کند که با دستگاه موردنظر مهاجم اصالت‌سنجی کند.

در صورت موفقیت‌آمیز بودن چنین حمله‌ای، مهاجم قادر خواهد بود تا کنترل Domain Controller را در اختیار گرفته و هر فرمان دلخواه خود را در سطح دامنه به اجرا در آورد.

 

درعین‌حال تکنیک مذکور هیچ‌گاه به‌عنوان آسیب‌پذیری در نظر گرفته نشد و به دلیل عدم انتشار اصلاحیه امنیتی برای آن از سوی مایکروسافت برخی سازمان‌ها MS-RPRN را غیرفعال کرده‌اند.

 

 

اخبار مهم صنایع:

راه حل مهار و کاهش رشد نقدینگی چیست؟

 

 

*** کشف یک تکنیک جدید

 

اما در هفته گذشته یک محقق فرانسوی، تکنیک جدیدی با عنوان PetitPotam  را افشا کرد که در آن در زمان اجرای حمله NTLM Relay نه از MS-RPRN API بلکه از تابع EfsRpcOpenFileRaw در MS-EFSRPC API سوءاستفاده می‌شود.

Microsoft Encrypting File System Remote Protocol یا همان MS-EFSRPC برای انجام عملیات نگهداری و مدیریت داده‌های رمزگذاری شده‌ای استفاده می‌شود که به‌صورت از راه دور در بستر شبکه ذخیره و فراخوانی می‌شوند.

این محقق برای اثبات ادعایش، اسکریپتی را برای نمایش عملکرد PetitPotam در GitHub منتشر کرده است که می‌تواند با استفاده از MS-EFSRPC API یک Domain Controller را مجبور به تأیید اعتبار Remote NTLM بالقوه مخرب کند.

 

*** سوءاستفاده از یک تابع معتبر

 

 وی پیرامون این موضوع، بیان کرد:

 این مسئله را نمی‌توان به‌عنوان یک آسیب‌پذیری در نظر گرفت بلکه به‌نوعی، سوءاستفاده از یک تابع معتبر است.

این تابع معتبر که بصورت مخفف MS-EFSRPC نامیده می‌شود، برای انجام عملیات نگهداری و مدیریت داده‌های رمزگذاری شده‌ای استفاده می‌شود که به‌صورت از راه دور، در بستر شبکه ذخیره و فراخوانی می‌شوند.
 امنیتی اهل فرانسه، اظهار داشته که این تکنیک ممکن است در حملات دیگر سایبری نیز استفاده شود.

 

*** راه مقابله با این حملات

 

به گزارش پژواک، کارشناس فضای مجازی در پایان، تاکید کرد:

تنها راه مقابله با این حملات، غیرفعال‌کردن تأیید اصالت‌سنجی NTLM یا فعال‌کردن محافظت‌هایی همچون امضاهای SMB و LDAP و همچنینChannel Binding در ویندوز است، در  متوقف کردن سرویس EFS نیز مانع سوءاستفاده از این تکنیک مهاجمان سایبری نمی‌شود.

 

انتهای پیام///

منبع
پژواک
ارسال دیدگاه