Anda juga dapat menjadi Pengendali Domain Windows dan melakukan apa pun yang Anda inginkan dengan trik WONTFIX yang aneh ini • Daftar

Microsoft menyelesaikan hat-trick kerentanan bulan ini ketika kerentanan lain ditemukan di sistem operasinya. Dan itu bahkan tidak memerlukan otentikasi untuk melakukan keajaibannya.

Kerentanan dapat dijelaskan dengan nama yang luar biasa PetitPotam Teknologi. Ini melibatkan penyalahgunaan Redmonds MS-EFSRPC (Mengenkripsi File System Remote Protocol) untuk mengambil alih jaringan perusahaan Windows. Tampaknya ideal untuk penguji penetrasi dan penyamun yang telah mendapatkan pijakan di jaringan Windows.

Secara khusus, peneliti keamanan Gilles Lionel mencatat bahwa dimungkinkan untuk menggunakan MS-EFSRPC untuk memaksa perangkat, termasuk pengontrol domain Windows, untuk mengautentikasi dengan relai NTLM yang dikendalikan oleh penyerang jarak jauh. Itu Intinya adalah sertifikat otentikasi yang memberikan akses penyerang ke layanan di tingkat pengontrol domain sehingga ia dapat memerintahkan seluruh domain.

“PetitPotam mengeksploitasi server”, kata Microsoft, “di mana Layanan Sertifikat Direktori Aktif (AD CS) tidak dikonfigurasi dengan perlindungan terhadap serangan relai NTLM.”

Lionel memposting eksploitasi bukti konsep yang tersedia dari tautan di atas dan Microsoft merespons dengan membagikan berita buruk di a penasehat dirilis pada hari Jumat. Raksasa Windows menggambarkan PetitPotam sebagai “serangan relai NTLM klasik” dan menemukan bahwa serangan semacam itu adalah panjang, cerita panjang.

Yang membuat kita bertanya: Mengapa masalah terus berlanjut?

Lebih disukai Microsoft Pelemahan adalah bagi administrator untuk menonaktifkan otentikasi NTLM, meskipun hal itu dapat merusak sejumlah layanan dan aplikasi yang bergantung padanya. Berbagai alternatif juga ditawarkan, “terurut dari yang lebih aman ke yang kurang aman”.

Besar.

Rekomendasinya adalah bacaan suram untuk administrator sistem yang memikirkan cara memperbaiki masalah WONTFIX terbaru ini. PetitPotam menggunakan layanan pendaftaran web otoritas sertifikasi atau layanan web untuk pendaftaran sertifikat (tergantung pada sistemnya) dan, menurut Lionels PoC, menggunakan fungsi MS-EFSRPC EfsRpcOpenFileRaw “untuk memaksa host Windows mengautentikasi dengan mesin lain”.

READ  Apple dilaporkan akan mengadakan acara perangkat keras berikutnya pada awal Maret

Analis CERT / CC Will Dormann merangkum serangan itu:

Microsoft merekomendasikan bahwa itu mempengaruhi Windows Server 2008 dan lebih tinggi, dan selain merekomendasikan bahwa pelanggan mengambil tindakan pencegahan NTLM, perbaikan untuk MS-EFSRPC tampaknya tidak akan berhasil. Kami memeriksa dengan Microsoft dan akan memperbarui jika itu memberi tahu kami lebih dari sekadar melihat nasihat lagi.

“Microsoft tidak[t] Perbaiki itu “, tweeted Guru keamanan TI Kevin Beaumont, “sehingga Anda sekarang memiliki jalur standar tanpa otentikasi untuk administrator domain di lingkungan Active Directory dengan konfigurasi standar, penyerang.”

Kami menyerahkan kata terakhir kepada pencipta Mimikatz Benjamin Delpy dan menunggu perubahan dari Microsoft … ®

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *