Microsoft heeft een adviserende en gedetailleerde instructies gepost over het beschermen van Windows-domeincontrollers en andere Windows-servers tegen de NTLM-relay-aanval die bekend staat als PetitPotam.
De PetitPotam-versie van de NTLM Relay-aanval werd vorige week ontdekt door de Franse veiligheidsonderzoeker Gilles Lionel, zoals voor het eerst werd gerapporteerd door The Record. De tool die Lionel heeft gepost, kan “Windows-hosts dwingen om zich bij andere machines te authenticeren via de MS-EFSRPC EfsRpcOpenFileRaw-functie”, legt hij uit.
Met andere woorden, de aanval kan een externe Windows-server authenticeren met een aanvaller en Microsoft NTLM-authenticatiereferenties en -certificaten delen.
Microsoft merkt op dat PetitPotam “een klassieke NTLM-relay-aanval is” die het beschrijft in een beveiligingsadvies uit 2009 en waarin staat dat “mogelijk kan worden gebruikt bij een aanval op Windows-domeincontrollers of andere Windows-servers.”
Het zegt dat klanten kwetsbaar kunnen zijn voor PetitPotam als NTLM-verificatie is ingeschakeld op een domein en Active Directory Certificate Services (AD CS) wordt gebruikt met Certificaatautoriteit Web Enrollment of Certificate Enrollment Web Service.
Om NTLM-relay-aanvallen die aan deze voorwaarden voldoen te voorkomen, adviseert Microsoft domeinbeheerders ervoor te zorgen dat services die NTLM-authenticatie toestaan ”gebruik maken van beveiligingen zoals Extended Protection for Authentication (EPA) of ondertekeningsfuncties zoals SMB ondertekenen.”
“PetitPotam maakt gebruik van servers waarop Active Directory Certificate Services (AD CS) niet is geconfigureerd met beveiligingen voor NTLM-relay-aanvallen”, merkt Microsoft op in ADV210003.
Microsoft heeft meer gedetailleerde instructies voor mitigatie gegeven in een apart KB-artikel, KB5005413. De “voorkeursbeperking” van Microsoft is het uitschakelen van NTLM-verificatie op een Windows-domeincontroller.
Maar het heeft ook gedetailleerde en grafische instructies voor alternatieve oplossingen als het niet mogelijk is om NTLM-authenticatie op een domein uit te schakelen. “Ze zijn gerangschikt van veiliger tot minder veilig”, merkt het op.
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN-beoordeling: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Beveiliging TV-gegevensbeheer CXO-datacenters 