تم أكتشاف ثغرة أمنية خطيرة في نظام تشغيل Windows قابلة للاستغلال عن بعد قال الباحثون في تحذير يوم الجمعة: "تسمح هذه الثغرة للمهاجم بنقل جلسات مصادقة NTLM إلى جهاز مهاجم، واستخدام واجهة MSRPC للتخزين المؤقت للطابعة لتنفيذ التعليمات البرمجية عن بُعد على الجهاز المهاجم".
تم اكتشاف هذه المشكلة التي أطلق عليها اسم "PetitPotam" بواسطة الباحث الأمني Gilles Lionel ، الذي شارك التفاصيل الفنية ورمز إثبات المفهوم (PoC) الأسبوع الماضي ، مشيرًا إلى أن الخلل يعمل عن طريق إجبار "مضيفي Windows على المصادقة على الأجهزة الأخرى عبر MS. -EfsRpcOpenFileRaw وظيفة. "
يستخدم الهجوم الجديد بروتوكول Microsoft Encrypting File System Remote Protocol (EFSRPC) لإجبار جهاز ، بما في ذلك وحدات التحكم بالمجال "domain" ، على المصادقة على مرحل NTLM بعيد يتحكم فيه .
"يمكن للمهاجم أن يستهدف Domain Controller لإرسال بيانات اعتمادها باستخدام بروتوكول MS-EFSRPC ثم ترحيل بيانات اعتماد DC NTLM إلى صفحات تسجيل خدمات شهادات Active Directory AD CS على الويب لتسجيل شهادة DC". "سيعطي هذا المهاجم بشكل فعال شهادة مصادقة يمكن استخدامها للوصول إلى Domain Controller بصفتها access domain services (DC) وتعريض النطاق بالكامل للخطر.
بينما يمكن إحباط مثل هذه الهجمات من خلال توقيع SMB و LDAP وتشغيل الحماية المحسّنة للمصادقة (EPA)، يستغل CVE-2021-1678 نقطة ضعف في MSRPC (Microsoft Remote Procedure Call) مما يجعله عرضة لهجوم الترحيل relay attack.
على وجه التحديد، وجد الباحثون أن IRemoteWinspool- واجهة RPC لإدارة التخزين المؤقت للطابعة عن بُعد- يمكن الاستفادة منها لتنفيذ سلسلة من عمليات RPC وكتابة ملفات عشوائية على جهاز مستهدف باستخدام جلسة NTLM تم اعتراضها.
قالت Microsoft، في وثيقة دعم، إنها عالجت الثغرة الأمنية من خلال "زيادة مستوى مصادقة RPC وإدخال سياسة جديدة ومفتاح تسجيل للسماح للعملاء بتعطيل أو تمكين وضع الإنفاذ على جانب الخادم لزيادة مستوى المصادقة".
لاحظت Microsoft أنه "لمنع هجمات NTLM Relay على الشبكات مع تمكين NTLM ، يجب على مسؤولي المجال التأكد من أن الخدمات التي تسمح بمصادقة NTLM تستخدم وسائل الحماية مثل الحماية الموسعة للمصادقة (EPA) أو ميزات التوقيع مثل توقيع SMB". "يستفيد PetitPotam من الخوادم التي لم يتم تكوين خدمات شهادة الدليل النشط (AD CS) فيها مع الحماية لهجمات NTLM Relay."
للحماية من هذا النوع من الهجوم ، يوصي Windows بأن يقوم العملاء بتعطيل مصادقة NTLM على Domain Controller.
في حالة تعذر إيقاف تشغيل NTLM لأسباب تتعلق بالتوافق Compatibility ، تحث الشركة المستخدمين على اتخاذ إحدى الخطوتين أدناه :
- قم بتعطيل NTLM على أي من خوادم AD CS في المجال الخاص بك باستخدام نهج المجموعة أمان الشبكة: تقييد NTLM: حركة مرور NTLM الواردة.
- تعطيل NTLM لخدمات معلومات الإنترنت (IIS) على خوادم AD CS في المجال الذي يشغّل خدمات Certificate Authority Web Enrollment" or "Certificate Enrollment Web Service" services"
المصادر
bleepingcomputer
thehackernews