كشف یك سوءاستفاده جدید از ویندوز
به گزارش الف دانلود فعال بودن تأیید اصالت سنجی NTLM و غیر فعال بودن برخی محافظت ها، ویندوز را در مقابل مهاجمان سایبری صدمه پذیر کرده است.
به گزارش الف دانلود به نقل از ایسنا، مهاجمان سایبری با اجرای حملاتی معروف به NTLM Relay، کنترل Domain Controller (کنترل کننده دامنه) و کل دامنه شبکه را در اختیار می گیرند. مهاجمان بعد از کنترل Domain Controller و در اختیار گرفتن کل دامنه شبکه، هر فرمان دلخواه خویش را در سطح دامنه به اجرا در می آورند.
محققی که این تکنیک مهاجمان سایبری را کشف کرده و نام آنرا PetitPotam گذاشته، اعتقاد دارد این مساله را نمی توان بعنوان یک صدمه پذیری در نظر گرفت بلکه به نوعی، سوءاستفاده از یک تابع معتبر است. این تابع معتبر که به صورت مخفف MS-EFSRPC نامیده می شود، برای انجام عملیات نگهداری و مدیریت داده های رمزگذاری شده ای استفاده می شود که به صورت از راه دور، در بستر شبکه ذخیره و فراخوانی می شوند. این محقق امنیتی اهل فرانسه، اعلام نموده که این تکنیک امکان دارد در حملات دیگر سایبری هم استفاده گردد.
محقق کاشف PetitPotam که اعتقاد دارد تنها راه مقابله با این حملات، غیرفعال کردن تأیید اصالت سنجی NTLM یا فعال کردن محافظت هایی همچون امضاهای SMB و LDAP و همینطور Channel Binding در ویندوز است، در عین حال تاکید می کند متوقف کردن سرویس EFS هم مانع سوءاستفاده از این تکنیک مهاجمان سایبری نمی گردد. جزئیات بیشتر در مورد تکنیک PetitPotam، شیوه کار مهاجمان با استفاده از آن، اطلاعات فنی و نمونه کدهای بهره جوی (PoC)، در پایگاه اینترنتی مرکز مدیریت راهبردی افتا انتشار یافته است.
منبع: alefdownload.ir
این پست الف دانلود را می پسندید؟
(0)
(0)
تازه ترین پستهای مرتبط
نظرات خوانندگان الف دانلود در مورد این مطلب