Saldırganların bir etki alanı denetleyicisini ve dolayısıyla tüm Windows etki alanını ele geçirmesine olanak tanıyan PetitPotam adlı yeni bir NTLM saldırısı keşfedildi.
Zafiyet Encrypting File System Remote (EFSRPC)‘de bulunuyor. Saldırgana, etki alanı denetleyicisi de dahil olmak üzere ağdaki herhangi bir cihazın kimliğini almasına olanak tanıyan bir Kerberos bileti verilir. Makineyi uzak bir sunucuya kimlik doğrulaması yapmaya zorlamak için MS-RPRN yazdırma API’sinin pcRemoteFindFirstPrinterChangeNotification işlevi kullanılır. Bu saldırı başarılı olursa, saldırgan etki alanı denetleyicisini ele geçirebilir ve istediği komutları çalıştırarak Windows etki alanını etkin bir şekilde ele geçirebilir. Uzmanlar bu zafiyetin düzeltilmez ve tüm Windows’larda varsayılan olarak etkin olduğunu söylüyorlar. Bu saldırının açıklanmasından bu yana, birçok kuruluş saldırı vektörünü engellemek için MS-RPRN’yi devre dışı bıraktı.
Güvenlik araştırmacısı Lionel, etki alanı denetleyicisini MS-EFSRPC API’sini kullanarak bir saldırganın kontrolü altındaki bir NTLM’e karşı kimlik doğrulaması yapmaya zorlamak için kullanılabilecek PetitPotam tekniği için GitHub’da bir (PoC) yayınladı.
Araştırmacı, bu saldırıdan korunmanın tek yolunun NTLM kimlik doğrulamasını devre dışı bırakmak veya SMB imzalama, LDAP imzalama ve channel binding gibi korumaları etkinleştirmek olduğunu söylüyor.
Güvenlik araştırmacısı ve Mimikatz yaratıcısı Benjamin Delpy , saldırganların zafiyeti nasıl kötüye kullanabileceğini gösteren bir video yayınladı.
Kaynak: bleepingcomputer.com