Anda juga dapat menjadi Pengendali Domain Windows dan melakukan apa pun yang Anda inginkan dengan trik WONTFIX yang aneh ini • Daftar

Microsoft menyelesaikan hat-trick kerentanan bulan ini ketika kerentanan lain ditemukan di sistem operasinya. Dan itu bahkan tidak memerlukan otentikasi untuk melakukan keajaibannya.

Kerentanan dapat dijelaskan dengan nama yang luar biasa PetitPotam Teknologi. Ini melibatkan penyalahgunaan Redmonds MS-EFSRPC (Mengenkripsi File System Remote Protocol) untuk mengambil alih jaringan perusahaan Windows. Tampaknya ideal untuk penguji penetrasi dan penyamun yang telah mendapatkan pijakan di jaringan Windows.

Secara khusus, peneliti keamanan Gilles Lionel mencatat bahwa dimungkinkan untuk menggunakan MS-EFSRPC untuk memaksa perangkat, termasuk pengontrol domain Windows, untuk mengautentikasi dengan relai NTLM yang dikendalikan oleh penyerang jarak jauh. Itu Intinya adalah sertifikat otentikasi yang memberikan akses penyerang ke layanan di tingkat pengontrol domain sehingga ia dapat memerintahkan seluruh domain.

“PetitPotam mengeksploitasi server”, kata Microsoft, “di mana Layanan Sertifikat Direktori Aktif (AD CS) tidak dikonfigurasi dengan perlindungan terhadap serangan relai NTLM.”

Lionel memposting eksploitasi bukti konsep yang tersedia dari tautan di atas dan Microsoft merespons dengan membagikan berita buruk di a penasehat dirilis pada hari Jumat. Raksasa Windows menggambarkan PetitPotam sebagai “serangan relai NTLM klasik” dan menemukan bahwa serangan semacam itu adalah panjang, cerita panjang.

Yang membuat kita bertanya: Mengapa masalah terus berlanjut?

Lebih disukai Microsoft Pelemahan adalah bagi administrator untuk menonaktifkan otentikasi NTLM, meskipun hal itu dapat merusak sejumlah layanan dan aplikasi yang bergantung padanya. Berbagai alternatif juga ditawarkan, “terurut dari yang lebih aman ke yang kurang aman”.

Besar.

Rekomendasinya adalah bacaan suram untuk administrator sistem yang memikirkan cara memperbaiki masalah WONTFIX terbaru ini. PetitPotam menggunakan layanan pendaftaran web otoritas sertifikasi atau layanan web untuk pendaftaran sertifikat (tergantung pada sistemnya) dan, menurut Lionels PoC, menggunakan fungsi MS-EFSRPC EfsRpcOpenFileRaw “untuk memaksa host Windows mengautentikasi dengan mesin lain”.

Analis CERT / CC Will Dormann merangkum serangan itu:

n waktu adalah stimulus! Saya tidak yakin apa yang terjadi pertama kali, tetapi ini adalah instalasi / konfigurasi DEFAULT dari web registry Otoritas Sertifikasi (pendaftaran web ADCS) pada komputer yang berbeda dari DC.

Domain rendah bergabung dengan pengguna untuk tiket emas.

Informasi login juga tidak diperlukan. pic.twitter.com/EHxq17oT4p

– Will Dormann (@wdormann) 23 Juli 2021

Microsoft merekomendasikan bahwa itu mempengaruhi Windows Server 2008 dan lebih tinggi, dan selain merekomendasikan bahwa pelanggan mengambil tindakan pencegahan NTLM, perbaikan untuk MS-EFSRPC tampaknya tidak akan berhasil. Kami memeriksa dengan Microsoft dan akan memperbarui jika itu memberi tahu kami lebih dari sekadar melihat nasihat lagi.

“Microsoft tidak[t] Perbaiki itu “, tweeted Guru keamanan TI Kevin Beaumont, “sehingga Anda sekarang memiliki jalur standar tanpa otentikasi untuk administrator domain di lingkungan Active Directory dengan konfigurasi standar, penyerang.”

Kami menyerahkan kata terakhir kepada pencipta Mimikatz Benjamin Delpy dan menunggu perubahan dari Microsoft … ®

Hai @msftsecurity… fokus pada konfigurasi NTLM Relay & AD CS default menarik, tetapi bisakah Anda memperbaikinya? [MS-EFSR] pertama?

Anda (mungkin?) Tahu bahwa PetitPotam terutama tentang penyalahgunaan [MS-EFSR] Panggilan jarak jauh * tanpa otentikasi *

> https://t.co/hTE2JgBmPi

> https://t.co/doK77F9cz2 https://t.co/gsoweKbsrd pic.twitter.com/Y26TYEvJow

– Benjamin Delpy (@gentilkiwi) 26 Juli 2021