x

Blog

حمله PetitPotam

خلاصه: حمله­ PetitPotam ، نوع جدیدی از حملات NTLM(New Technology LAN Manager) relay ،  مهاجم را قادر می‌سازد تا Domain controller و در نهایت تمامی دامنه Windows  را  تصاحب کند.

 

در سیستم‌های مایکروسافت Windows active directory، جهت احراز هویت کاربران استفاده می‌شود. به این صورت که افراد برای احراز هویت با استفاده از زیرساخت کلید عمومی یا همان PKI، خودشان را به سیستم معرفی می‌کنند و از طریق سرویس Microsoft active directory certificate ، تصدیق اصالت کاربران تایید می‌شود.

در گذشته حملات متنوعی بر روی NTLM انجام شده است که در آن‌ها مهاجم به گونه‌ای Kerberos ticket granting ticket  (TGT) را که معرف کاربر به سیستم است، بدست می‌آورد و به domain controller دسترسی پیدا می‌کرد. روش‌هایی از قبیل عبور از hash و Drop the MIC، پروتکل احراز هویت سیستم‌های Active directory مایکروسافت را تحت تاثیر قرار می‌دادند که با استفاده از NTLMv2 و همچنین قابلیت enable sign تا حد مناسبی از تأثیرات مخرب این حملات جلوگیری شده است. حمله دیگری که بر بستر MS-RPRN و قابلیت پرینتر­ها در پیام رسانی به دیگر سیستم‌های شبکه انجام شد که  بر خلاف حملات قبلی، جلوگیری از این حمله پیش‌بینی نشده بود و سازمان‌ها برای مقابله می‌بایست سرویس Print System Remote Protocol یا به‌اختصار MS-RPRN را به طور کامل غیر فعال  می‌کردند.

معرفی PetitPotam

محقق فرانسوی GILLES Lionel (با نام مستعار Topotam ) تکنیک جدیدی برای حملات NTLM relay کشف کرده است که از Encrypting File System Remote یا MS-EFSRPC به جای MS-RPRN استفاده می‌کند. طبق مستندات مایکروسافت، MS-EFSRPC، جهت نگهداری، کنترل و مدیریت فعالیت‌ها بر روی اطلاعات رمزنگاری شده است و بر بستر شبکه قابل‌دسترسی می‌باشد. محقق فرانسوی، proof-of-concept حمله­ PetitPotam را بر روی github قرار داده است که در آن به صورت کلی domain controller را مجبور می‌سازد تا فرایند احراز هویت را از طریق MS-EFSRPC که تحت کنترل  مهاجم است، انجام دهد. این محقق توضیح داده است که PetitPotam را به عنوان یک آسیب پذیری نمی‌شناسد و بیشتر آن را در دسته حملاتی قرار می‌دهد که با سوءاستفاده از توابع بی‌خطر و مشروع به نحوی به سیستم صدمه می‌زنند.

جزئیات PetitPotam

کد حمله از تابع  EfsRpcOpenFileRaw در MS-EFSRPC برای احراز هویت کاربران به سیستم ویندوز استفاده می‌کند. روش PetitPotam برای سایر توابع نیز قابل گسترش و پیاده سازی است. ابزار حمله از  LSRPC named pipe از طریق واسطی به شناسه c681d488-d850-11d0-8c52-00c04fd90f7e  به دلیل رایج بودن برای برقراری ارتباط و رد و بدل کردن پیام‌ها بر بستر SMB، استفاده می‌کند. همچنین  می­ توان از EFSRPC named pipe و واسطی با شناسه df1941c5-fe89-4e79-bf10-463657acf44d نیز بهره برد.

بعد از راه‌اندازی named pipe دلخواه از لیست زیر و bound کردن UUID مورد نظر، مهاجم قادر خواهد بود که از طریق EfsRpcOpenFileRaw حمله را عملی کند.

  • LSARPC
  • EFSR
  • SAMR
  • LSASS
  • NETLOGON

قسمتی از کد ارسالی حمله که وجود فایلی را در شبکه با استفاده از MS-EFSRPC API بررسی می‌کند؛ در شکل زیر آمده است.

PetitPotam می‌تواند از طریق SMB relay قابلیت احراز هویت بر بستر HTTP certificate enrollment را فراهم کند. تقلیل نسخه (version downgrade) مورد استفاده یعنی NTLM بهNTLMv1  و دسترسی به حساب‌های افرادی که بر روی یک domain قرار دارند از ویژگی هایی است که PetitPotam قابلیت عملی کردن آنها را دارد.

جلوگیری از PetitPotam

تنها راه جلوگیری از این حمله غیر فعال کردن احراز هویت از طریق NTLM  یا برقراری مکانیزم‌های امنیتی مثل SMB signing ، LDAP signing و channel binding می‌باشد. متاسفانه، در حال حاضر قابلیتی وجود ندارد که از درخواست احراز هویت با استفاده از EFS service جلوگیری کند.

 

 

    

Persian English French German Russian Spanish
کلیه حقوق این سایت متعلق به مرکز تخصصی آپا دانشگاه صنعتی اصفهان می‌باشد. استفاده از مطالب تنها در صورت دریافت تاییدیه کتبی مجاز است.

تحت نظارت وف ایرانی