به تازگی یک تکنیک جدید برای مقابله با حملات سایبری کشف شده است.
*** حملات سایبری
به گزارش پژواک، مهاجمان سایبری با اجرای حملاتی معروف به NTLM Relay ، کنترل Domain Controller (کنترل کننده دامنه) و کل دامنه شبکه را در اختیار میگیرند.
مهاجمان پس از کنترل Domain Controller و در اختیار گرفتن کل دامنه شبکه، هر فرمان دلخواه خود را در سطح دامنه به اجرا در میآورند.
بسیاری از سازمانها از Microsoft Active Directory Certificate Services که یک سرویس بهاصطلاح PKI است بهمنظور اصالتسنجی کاربران، سرویسها و دستگاهها در دامنههای تحت Windows استفاده میکنند.
درگذشته، محققان روشی را کشف کردند که یک سرور Domain Controller را وادار به تأیید اعتبار یک NTLM Relay مخرب میکند.
در نتیجه این اقدام، درخواست از طریق HTTP به Active Directory Certificate Services منتقل و بااعطای مجوز Kerberos Ticket Granting Ticket – بهاختصار TGT – هویت هر دستگاه در شبکه از جمله سرور Domain Controller قابل جعل میشود.
برای مجبور کردن دستگاه به تأیید اعتبار یک سرور از راه دور، مهاجم میتواند از تابع RpcRemoteFindFirstPrinterChangeNotification در MS-RPRN API استفاده کند.
از سویی دیگر، Print Spooler سرویسی است که فرمانهای چاپ و سایر وظایف مربوط به آن را در Windows مدیریت میکند.
مهاجمی که یک کاربر یا کامپیوتر تحت دامنه را کنترل میکند میتواند با فراخوانی یک RPC خاص، سرویس مذکور را بر روی دستگاه مقصد به نحوی فعال کند که با دستگاه موردنظر مهاجم اصالتسنجی کند.
در صورت موفقیتآمیز بودن چنین حملهای، مهاجم قادر خواهد بود تا کنترل Domain Controller را در اختیار گرفته و هر فرمان دلخواه خود را در سطح دامنه به اجرا در آورد.
درعینحال تکنیک مذکور هیچگاه بهعنوان آسیبپذیری در نظر گرفته نشد و به دلیل عدم انتشار اصلاحیه امنیتی برای آن از سوی مایکروسافت برخی سازمانها MS-RPRN را غیرفعال کردهاند.
اخبار مهم صنایع:
*** کشف یک تکنیک جدید
اما در هفته گذشته یک محقق فرانسوی، تکنیک جدیدی با عنوان PetitPotam را افشا کرد که در آن در زمان اجرای حمله NTLM Relay نه از MS-RPRN API بلکه از تابع EfsRpcOpenFileRaw در MS-EFSRPC API سوءاستفاده میشود.
Microsoft Encrypting File System Remote Protocol یا همان MS-EFSRPC برای انجام عملیات نگهداری و مدیریت دادههای رمزگذاری شدهای استفاده میشود که بهصورت از راه دور در بستر شبکه ذخیره و فراخوانی میشوند.
این محقق برای اثبات ادعایش، اسکریپتی را برای نمایش عملکرد PetitPotam در GitHub منتشر کرده است که میتواند با استفاده از MS-EFSRPC API یک Domain Controller را مجبور به تأیید اعتبار Remote NTLM بالقوه مخرب کند.
*** سوءاستفاده از یک تابع معتبر
وی پیرامون این موضوع، بیان کرد:
این مسئله را نمیتوان بهعنوان یک آسیبپذیری در نظر گرفت بلکه بهنوعی، سوءاستفاده از یک تابع معتبر است.
این تابع معتبر که بصورت مخفف MS-EFSRPC نامیده میشود، برای انجام عملیات نگهداری و مدیریت دادههای رمزگذاری شدهای استفاده میشود که بهصورت از راه دور، در بستر شبکه ذخیره و فراخوانی میشوند.
امنیتی اهل فرانسه، اظهار داشته که این تکنیک ممکن است در حملات دیگر سایبری نیز استفاده شود.
*** راه مقابله با این حملات
به گزارش پژواک، کارشناس فضای مجازی در پایان، تاکید کرد:
تنها راه مقابله با این حملات، غیرفعالکردن تأیید اصالتسنجی NTLM یا فعالکردن محافظتهایی همچون امضاهای SMB و LDAP و همچنینChannel Binding در ویندوز است، در متوقف کردن سرویس EFS نیز مانع سوءاستفاده از این تکنیک مهاجمان سایبری نمیشود.
انتهای پیام///
برای نوشتن دیدگاه باید وارد بشوید.