Microsoft поделилась мерами по предотвращению NTLM-атаки PetitPotam
Microsoft опубликовала рекомендации по защите от недавно обнаруженной NTLM-атаки PetitPotam, которая заставляет удаленные серверы Windows аутентифицировать злоумышленника и отправлять ему данные аутентификации NTLM или сертификаты аутентификации.
Уязвимость обнаружил исследователь безопасности Жиль Лионель. Он также опубликовал PoC эксплойта на GitHub. PetitPotam использует протокол Microsoft Encrypting File System Remote Protocol (MS-EFSRPC), который позволяет устройствам с Windows выполнять операции с зашифрованными данными, хранящимися в удаленных системах. Путем отправки SMB-запросов на MS-EFSRPC удаленной системы можно заставить компьютер инициировать процедуру аутентификации и поделиться своими данными аутентификации, чтобы потом использовать их для атаки NTLM-Relay и получить доступ к системе.
Метод работает на большинстве версий Windows; специалисты протестировали его на системах Windows 10, Windows Server 2016 и Windows Server 2019. После обнаружения PetitPotam Microsoft опубликовала рекомендации по снижению риска атаки, отметив, что метод представляет собой классическую атаку NTLM-Relay и что такие атаки были ранее задокументированы Microsoft не единожды.
«Чтобы предотвратить атаки NTLM-Relay в сетях с включенным NTLM, администраторы домена должны убедиться, что службы, разрешающие проверку подлинности NTLM, используют такие средства защиты, как Extended Protection for Authentication (EPA) или подпись SMB».
Microsoft также посоветовала отключить NTLM там, где в нем нет необходимости.
