Microsoft har lagt upp en rådgivande och detaljerad instruktion om hur du skyddar Windows-domänkontrollanter och andra Windows-servrar från NTLM Relay Attack, känd som PetitPotam.
PetitPotam-anfallet mot NTLM-reläattacken upptäcktes förra veckan av den franska säkerhetsforskaren Gilles Lionel, som först rapporterades av The Record. Verktyget som Lionel publicerat kan “tvinga Windows-värdar att autentisera till andra maskiner via MS-EFSRPC EfsRpcOpenFileRaw-funktionen”, förklarar han.
Med andra ord kan attacken göra en fjärransluten Windows-server autentiserad med en angripare och dela Microsoft NTLM-autentiseringsuppgifter och certifikat.
Microsoft noterar att PetitPotam “är en klassisk NTLM-reläattack” som den beskriver i en säkerhetsrådgivning från 2009, som den säger “kan potentiellt användas i en attack mot Windows-domänkontrollanter eller andra Windows-servrar.”
Det säger att kunder kan vara sårbara för PetitPotam om NTLM-autentisering är aktiverad på en domän och Active Directory Certificate Services (AD CS) används med Certificate Authority Web Enrollment eller Certificate Enrollment Web Service.
För att förhindra NTLM-reläattacker som uppfyller dessa villkor rekommenderar Microsoft domänadministratörer att se till att tjänster som tillåter NTLM-autentisering måste “använda skydd så som utökat skydd för autentisering (EPA) eller signeringsfunktioner som SMB-signering.”
“PetitPotam utnyttjar servrar där Active Directory Certificate Services (AD CS) inte är konfigurerad med skydd för NTLM Relay Attacks,” noterar Microsoft i ADV210003.
Microsoft har tillhandahållit mer detaljerade begränsningsinstruktioner i en separat KB-artikel, KB5005413. Microsofts “föredragna begränsning” är att inaktivera NTLM-autentisering på en Windows-domänkontrollant.
Men det har också detaljerade och grafiska instruktioner för alternativa begränsningar om det inte är möjligt att inaktivera NTLM-autentisering på en domän. “De listas i ordning säkrare till mindre säkra”, står det.
Säkerhet
Kaseya ransomware attack: Vad du behöver veta Surfshark VPN recension: Det är billigt, men är det bra? De bästa webbläsarna för sekretess Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN-tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar fler attacker (ZDNet YouTube)
Relaterade ämnen :
Säkerhet TV Data Management CXO-datacenter 