ایتنا - مرکز افتا با هشدار درباره کشف یک سوءاستفاده جدید از ویندوز، اعلام کرد: فعال بودن تأیید اصالتسنجی NTLM و غیر فعال بودن برخی محافظتها، ویندوز را در برابر مهاجمان سایبری آسیبپذیر کرده است.
هشدار افتا درخصوص سوءاستفاده جدید از سیستم عامل ویندوز
4 مرداد 1400 ساعت 13:45
ایتنا - مرکز افتا با هشدار درباره کشف یک سوءاستفاده جدید از ویندوز، اعلام کرد: فعال بودن تأیید اصالتسنجی NTLM و غیر فعال بودن برخی محافظتها، ویندوز را در برابر مهاجمان سایبری آسیبپذیر کرده است.
مهاجمان سایبری با اجرای حملاتی معروف به NTLM Relay ، کنترل Domain Controller (کنترل کننده دامنه) و کل دامنه شبکه را در اختیار میگیرند.
به گزارش ایتنا از مرکز افتا، مهاجمان پس از کنترل Domain Controller و در اختیار گرفتن کل دامنه شبکه، هر فرمان دلخواه خود را در سطح دامنه به اجرا در میآورند.
محققی که این تکنیک مهاجمان سایبری را کشف کرده و نام آن را PetitPotam گذاشته، معتقد است که این مسئله را نمیتوان بهعنوان یک آسیبپذیری در نظر گرفت بلکه بهنوعی، سوءاستفاده از یک تابع معتبر است.
این تابع معتبر که به صورت مخفف MS-EFSRPC نامیده میشود، برای انجام عملیات نگهداری و مدیریت دادههای رمزگذاری شدهای استفاده میشود که بهصورت از راه دور، در بستر شبکه ذخیره و فراخوانی میشوند.
این محقق امنیتی اهل فرانسه، اظهار داشته که این تکنیک ممکن است در حملات دیگر سایبری نیز استفاده شود.
محقق کاشف PetitPotam که معتقد است تنها راه مقابله با این حملات، غیرفعالکردن تأیید اصالتسنجی NTLM یا فعالکردن محافظتهایی همچون امضاهای SMB و LDAP و همچنین Channel Binding در ویندوز است، در عین حال تاکید میکند: متوقف کردن سرویس EFS نیز مانع سوءاستفاده از این تکنیک مهاجمان سایبری نمیشود.
جزئیات بیشتر در خصوص تکنیک PetitPotam، شیوه کار مهاجمان با استفاده از آن، اطلاعات فنی و نمونه کدهای بهرهجوی (PoC) در پایگاه اینترنتی مرکز مدیریت راهبردی افتا منتشر شده است.
کد مطلب: 65604
آدرس مطلب: https://www.itna.ir/news/65604/هشدار-افتا-درخصوص-سوءاستفاده-جدید-سیستم-عامل-ویندوز