Microsoft har sendt en rådgivende og detaljeret vejledning i, hvordan du beskytter Windows-domænekontrollere og andre Windows-servere fra NTLM Relay Attack, kendt som PetitPotam.
PetitPotam-angrebet på NTLM Relay-angrebet blev opdaget i sidste uge af den franske sikkerhedsforsker Gilles Lionel, som først rapporteret af The Record. Det værktøj, Lionel har sendt, kan “tvinge Windows-værter til at godkende til andre maskiner via MS-EFSRPC EfsRpcOpenFileRaw-funktion,” forklarer han.
Med andre ord kan angrebet få en ekstern Windows-server til at autentificere med en angriber og dele Microsoft NTLM-godkendelsesoplysninger og certifikater.
Microsoft bemærker, at PetitPotam “er et klassisk NTLM-relæangreb”, som det beskrives i en 2009-sikkerhedsrådgivning, som det siger “potentielt kan bruges i et angreb på Windows-domænecontrollere eller andre Windows-servere.”
Det siger, at kunder kan være sårbare over for PetitPotam, hvis NTLM-godkendelse er aktiveret på et domæne, og Active Directory Certificate Services (AD CS) er i brug sammen med Certificate Authority Web Enrollment eller Certificate Enrollment Web Service.
For at forhindre NTLM-relæangreb, der opfylder disse betingelser, råder Microsoft domæneadministratorer til at sikre, at tjenester, der tillader NTLM-godkendelse, skal “gøre brug af beskyttelse såsom udvidet beskyttelse for godkendelse (EPA) eller signeringsfunktioner såsom SMB-signering.”
“PetitPotam udnytter servere, hvor Active Directory Certificate Services (AD CS) ikke er konfigureret med beskyttelse til NTLM Relay Attacks,” bemærker Microsoft i ADV210003.
Microsoft har leveret mere detaljerede afbødningsinstruktioner i en separat KB-artikel, KB5005413. Microsofts “foretrukne afbødning” deaktiverer NTLM-godkendelse på en Windows-domænecontroller.
Men det har også detaljerede og grafiske instruktioner til alternative afbødninger, hvis det ikke er muligt at deaktivere NTLM-godkendelse på et domæne. “De er anført i rækkefølge af mere sikker til mindre sikker,” bemærker den. men er det godt? De bedste browsere til privatlivets fred Cybersikkerhed 101: Beskyt dit privatliv De bedste antivirussoftware og -apps De bedste VPN'er til forretnings- og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesum, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
Sikkerhed TV-datastyring CXO-datacentre 