Tấn công PetitPotam là gì? Cách khắc phục tấn công PetitPotam

Mới đây, nhà nghiên cứu bảo mật người Pháp Gilles Lionel, hay còn được biết đến với biệt danh Topotam, đã tiết lộ một kỹ thuật tấn công mới mang tên PetitPotam. Đây là một kiểu tấn công chuyển tiếp NTLM không phụ thuộc vào API MS-RPRN mà sử dụng chức năng EfsRpcOpenFileRaw của API MS-EFSRPC.

MS-EFSRPC là Giao thức Mã hóa Tệp Hệ thống Từ xa của Microsoft, thường được dùng để thực hiện các hoạt động bảo trì và quản lý dữ liệu mã hóa được lưu trữ từ xa và được truy cập qua mạng.

Theo Lionel, đây không phải là một lỗ hổng mà là sự lạm dụng một tính năng hợp pháp của hệ thống. PetitPotam không chỉ cho phép hacker kiểm soát toàn bộ Windows domain mà còn dẫn tới những cuộc tấn công khác, Lionel chia sẻ.

Ngay sau khi Lionel công bố nghiên cứu của mình trên GitHub, nhiều chuyên gia bảo mật khác đã bắt tay vào thử nghiệm. Nhà nghiên cứu bảo mật Remi Escourrou xác nhận có thể dùng PetitPotam để kiểm soát toàn bộ Active Directory. Ngoài ra, ông còn cho biết thêm rằng thực tế không có cách nào để chặn được PetitPotam.

PetitPotam ảnh hưởng tới Windows Server 2008 đến 2019. Theo Microsoft, chưa có dấu hiệu nào cho thấy kỹ thuật tấn công PetitPotam được hacker sử dụng.

Microsoft chia sẻ cách khắc phục PetitPotam

Trong một tuyên bố vừa được đưa ra, Microsoft thừa nhận rằng các tổ chức có thể bị tấn công bởi PetitPotam. Hiện tại, Microsoft vẫn chưa tung ra bản vá nhưng hãng này khuyên các tổ chức nên thực hiện các biện pháp sau để giảm thiểu thiệt hại do PetitPotam gây ra:

  • Vô hiệu hóa NTLM ở những nơi mà nó không cần thiết (ví dụ Domain Controller)
  • Kích hoạt cơ chế Extended Protection for Authentication để bảo vệ thông tin đăng nhập trên máy tính Windows

Tuy nhiên, PetitPotam tấn công bằng cách lạm dụng chức năng EfsRpcOpenFileRaw của API MS-EFSRPC để chuyển các yêu cầu xác thực, mở ra cánh cửa cho các cuộc tấn công khác. Lời khuyên của Microsoft chỉ ngăn chặn các cuộc tấn công chuyển tiếp NTLM mà không giải quyết việc lạm dụng API MS-EFSRPC. Có thể Microsoft cần tung ra một bản cập nhật để khắc phục vấn đè này.

Chuyên gia bảo mật Benjamin Delpy cho rằng những biện pháp giảm thiểu mà Microsoft đưa ra chưa hề thỏa đáng. Thậm chí giao thức EFSRPC còn không được đề cập tới.

Thứ Hai, 26/07/2021 11:52
52 👨 851
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng