Haberler

PetitPotam Saldırısı, Domain Controller’in Ele Geçirilmesine İzin Veriyor

Saldırganların bir etki alanı denetleyicisini ve dolayısıyla tüm Windows etki alanını ele geçirmesine olanak tanıyan PetitPotam adlı yeni bir NTLM saldırısı keşfedildi.

Zafiyet  Encrypting File System Remote (EFSRPC)‘de bulunuyor. Saldırgana, etki alanı denetleyicisi de dahil olmak üzere ağdaki herhangi bir cihazın kimliğini almasına olanak tanıyan bir Kerberos bileti verilir. Makineyi uzak bir sunucuya kimlik doğrulaması yapmaya zorlamak için MS-RPRN yazdırma API’sinin pcRemoteFindFirstPrinterChangeNotification işlevi kullanılır. Bu saldırı başarılı olursa, saldırgan etki alanı denetleyicisini ele geçirebilir ve istediği komutları çalıştırarak Windows etki alanını etkin bir şekilde ele geçirebilir. Uzmanlar bu zafiyetin düzeltilmez ve tüm Windows’larda varsayılan olarak etkin olduğunu söylüyorlar. Bu saldırının açıklanmasından bu yana, birçok kuruluş saldırı vektörünü engellemek için MS-RPRN’yi devre dışı bıraktı.

Güvenlik araştırmacısı Lionel, etki alanı denetleyicisini MS-EFSRPC API’sini kullanarak bir saldırganın kontrolü altındaki bir NTLM’e karşı kimlik doğrulaması yapmaya zorlamak için kullanılabilecek PetitPotam tekniği için GitHub’da bir (PoC) yayınladı.

Araştırmacı, bu saldırıdan korunmanın tek yolunun NTLM kimlik doğrulamasını devre dışı bırakmak veya SMB imzalama, LDAP imzalama ve channel binding gibi korumaları etkinleştirmek olduğunu söylüyor.

Güvenlik araştırmacısı ve Mimikatz yaratıcısı  Benjamin Delpy  , saldırganların zafiyeti nasıl kötüye kullanabileceğini gösteren bir video yayınladı.

Kaynak: bleepingcomputer.com

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.