Microsoft, PetitPotam Zafiyeti İçin Mitigate ( Hafifletici ) Önerilerinde Bulundu

Microsoft, etki alanı denetleyicisini veya diğer Windows sunucularını devralmaya izin veren yeni PetitPotam NTLM Relay saldırısı için mitigate önerilerinde bulundu.

Yeni saldırı , etki alanı denetleyicileri de dahil olmak üzere bir cihazı saldırgan tarafından kontrol edilen uzak bir NTLM Relay‘a kimlik doğrulaması yapmayı zorluyor bunun içinde Microsoft Encrypting File System Remote Protocol ‘ünü ( EFSRPC ) kullanıyor. Bir cihaz, saldırgan tarafından hazırlanmış bir NTLM sunucusuna kimlik doğrulaması yaptığında, saldırganlar tarafından cihazın kimliğini ve ayrıcalıklarını alabilecek hash ve sertifikaları çalabiliyor.

Microsoft, PetitPotam’a veya diğer relay saldırılarına maruz kalan kuruluşların etki alanında NTLM kimlik doğrulamasının, Active Directory Certificate Services (AD CS), Certificate Authority Web Enrollment ve Certificate Enrollment Web Service kullanıldığını belirtiyor.

Microsoft, gönderdiği tweet’te , örneğin Etki Alanı Denetleyicileri gibi gerekli olmayan yerlerde NTLM’nin devre dışı bırakılmasını veya Windows makinelerinde kimlik bilgilerini korumak için Kimlik Doğrulama için Genişletilmiş Koruma mekanizmasının etkinleştirilmesini önerdi.

To mitigate against various NTLM relay attacks, disable NTLM where not needed (eg DCs) or implement the mitigation feature, Extended Protection for Authentication. Guidance at https://t.co/JEaDMxdD61

— Security Response (@msftsecresponse) July 24, 2021

Microsoft, NTLM’nin etkinleştirildiği ağlarda, NTLM kimlik doğrulamasına izin veren hizmetlerin, SMB imzalama gibi imzalama özelliklerini kullanmasını öneriyor. Uzmanlar şu an için yayınlanan yöntemlerin saldırıganları durdurabilecek düzeyde olmadığını belirtiyor ve Microsoft’un zafiyet ile ilgili bir güncelleme yayınlamasının önemine dikkat çekiyor.

Kaynak: bleepingcomputer.com