PetitPotam Saldırısı, Domain Controller’in Ele Geçirilmesine İzin Veriyor

Saldırganların bir etki alanı denetleyicisini ve dolayısıyla tüm Windows etki alanını ele geçirmesine olanak tanıyan PetitPotam adlı yeni bir NTLM saldırısı keşfedildi.

Zafiyet  Encrypting File System Remote (EFSRPC)‘de bulunuyor. Saldırgana, etki alanı denetleyicisi de dahil olmak üzere ağdaki herhangi bir cihazın kimliğini almasına olanak tanıyan bir Kerberos bileti verilir. Makineyi uzak bir sunucuya kimlik doğrulaması yapmaya zorlamak için MS-RPRN yazdırma API’sinin pcRemoteFindFirstPrinterChangeNotification işlevi kullanılır. Bu saldırı başarılı olursa, saldırgan etki alanı denetleyicisini ele geçirebilir ve istediği komutları çalıştırarak Windows etki alanını etkin bir şekilde ele geçirebilir. Uzmanlar bu zafiyetin düzeltilmez ve tüm Windows’larda varsayılan olarak etkin olduğunu söylüyorlar. Bu saldırının açıklanmasından bu yana, birçok kuruluş saldırı vektörünü engellemek için MS-RPRN’yi devre dışı bıraktı.

Hi all,
MS-RPRN to coerce machine authentication is great but the service is often disabled nowadays by admins on most orgz.
Here is one another way we use to elicit machine account auth via MS-EFSRPC. Enjoy!! 🙂https://t.co/AGiS4f6yt8

— topotam (@topotam77) July 18, 2021

Güvenlik araştırmacısı Lionel, etki alanı denetleyicisini MS-EFSRPC API’sini kullanarak bir saldırganın kontrolü altındaki bir NTLM’e karşı kimlik doğrulaması yapmaya zorlamak için kullanılabilecek PetitPotam tekniği için GitHub’da bir (PoC) yayınladı.

Araştırmacı, bu saldırıdan korunmanın tek yolunun NTLM kimlik doğrulamasını devre dışı bırakmak veya SMB imzalama, LDAP imzalama ve channel binding gibi korumaları etkinleştirmek olduğunu söylüyor.

Güvenlik araştırmacısı ve Mimikatz yaratıcısı  Benjamin Delpy  , saldırganların zafiyeti nasıl kötüye kullanabileceğini gösteren bir video yayınladı.

Kaynak: bleepingcomputer.com