Microsoft har lagt ut en rådgivende og detaljert instruksjon om hvordan du beskytter Windows-domenekontrollere og andre Windows-servere fra NTLM Relay Attack, kjent som PetitPotam.
PetitPotam-angrepet på NTLM Relay-angrepet ble oppdaget i forrige uke av den franske sikkerhetsforskeren Gilles Lionel, som først rapportert av The Record. Verktøyet Lionel la ut kan “tvinge Windows-verter til å autentisere seg til andre maskiner via MS-EFSRPC EfsRpcOpenFileRaw-funksjon,” forklarer han.
Med andre ord kan angrepet få en ekstern Windows-server til å autentisere med en angriper og dele Microsoft NTLM-autentiseringslegitimasjon og -sertifikater.
Microsoft bemerker at PetitPotam “er et klassisk NTLM Relay Attack” som det beskrives i en 2009-sikkerhetsrådgivning, som det står “potensielt kan brukes i et angrep på Windows-domenekontrollere eller andre Windows-servere.”
Det sier at kunder kan være sårbare for PetitPotam hvis NTLM-godkjenning er aktivert på et domene og Active Directory Certificate Services (AD CS) er i bruk med Certificate Authority Web Enrollment eller Certificate Enrollment Web Service.
For å forhindre NTLM-reléangrep som oppfyller disse vilkårene, anbefaler Microsoft domeneadministratorer å sikre at tjenester som tillater NTLM-godkjenning, må “gjøre bruk av beskyttelse som utvidet beskyttelse for autentisering (EPA) eller signeringsfunksjoner som SMB-signering.”
“PetitPotam benytter seg av servere der Active Directory Certificate Services (AD CS) ikke er konfigurert med beskyttelse for NTLM Relay Attacks,” bemerker Microsoft i ADV210003.
Microsoft har gitt mer detaljerte begrensningsinstruksjoner i en egen KB-artikkel, KB5005413. Microsofts “foretrukne avbøting” deaktiverer NTLM-autentisering på en Windows-domenekontroller.
Men det har også detaljerte og grafiske instruksjoner for alternative avbøtninger hvis det ikke er mulig å deaktivere NTLM-autentisering på et domene. “De er oppført i rekkefølge av sikrere til mindre sikre,” bemerker det.
Sikkerhet
Kaseya-ransomware-angrep: Det du trenger å vite Surfshark VPN-gjennomgang: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt De beste antivirusprogramvarene og appene De beste VPN-ene for forretnings- og hjemmebruk De beste sikkerhetsnøklene for 2FA Hvordan ofre som betaler løsepenger oppfordrer til flere angrep (ZDNet YouTube)
Relaterte emner :
Sikkerhet TV Data Management CXO datasentre 