Silverfort 보안 공지: AD CS에 대한 NTLM 릴레이 – PetitPotam 및 프린터 버그

PetitPotam 공격, GitHub에 게시, 원격 서버가 다음을 사용하여 대상 서버에 인증하도록 합니다. NTLM, EfsRpcOpenFileRaw라는 MS-EFSRPC 명령을 사용합니다. MS-EFSRPC는 암호화된 파일에 대한 원격 액세스를 가능하게 하는 프로토콜입니다. NTLM 릴레이 공격을 트리거하는 데 사용될 수 있기 때문에 서버가 원격으로 NTLM으로 인증하도록 하는 것은 좋지 않습니다.

특히 위험한 NTLM 릴레이 공격은 Active Directory 인증서 서비스(AD CS). 안에 백서 (ESC8 참조), SpecterOps는 AD CS에서 NTLM 릴레이 공격을 사용하여 시스템을 장악하거나 해당 시스템을 가장하는 방법을 설명합니다. 기기를 가장하기 위해 기기에서 클라이언트 인증서를 요청합니다. 클라이언트 인증서를 얻은 후 공격자는 다음 기술 중 하나를 사용하여 도메인이나 대상 시스템을 장악할 수 있습니다.

1. 컴퓨터가 도메인 컨트롤러이거나 권한이 있는 다른 컴퓨터인 경우 자격 증명을 사용하여 디렉터리의 비밀을 동기화하여 도메인을 효과적으로 손상시킬 수 있습니다.
2. 공격자는 S4U2Self 프로토콜을 사용하여 모든 사용자로 대상 시스템에 대한 서비스 티켓을 얻을 수 있습니다.
3. 공격자는 PKInit를 사용하여 시스템 NT 해시를 얻은 다음 실버 티켓 공격을 실행할 수 있습니다.

프린터 버그

이 취약점은 관련이 있지만 프린터 버그 (Will Schroeder가 DerbyCon 2018에서 발표). 이 취약점을 통해 공격자는 NTLM을 트리거할 수 있습니다. 인증 PrinterSpooler 서비스를 실행하는 모든 클라이언트에 의해. 아래 제공된 완화 조치는 PetitPotam과 프린터 버그가 모두 AD CS 서버에 대한 NTLM 릴레이를 수행하는 것을 방지하지만 다른 대상에 대한 NTLM 릴레이 공격을 차단하지는 않습니다. 최근 여러 가지 프린터 스풀러 취약점이 공개되었으므로 인쇄가 필요하지 않은 모든 구성원 서버와 도메인 컨트롤러에서 프린터 스풀러를 비활성화하는 것이 좋습니다.

마이크로소프트 지침

Microsoft는 이 취약점을 수정하지는 않지만 가능한 몇 가지 사항에 대해 조언하고 있습니다. 완화. 선호되는 완화 방법은 매우 극단적입니다. 도메인에서 NTLM을 완전히 비활성화. 제 경험상 NTLM은 일반적으로 네트워크의 모든 인증에서 두 자릿수 비율을 차지하므로 실용적인 조언은 아닙니다. 이것을 XNUMX으로 줄이는 것은 일반적으로 비실용적입니다. 그들이 권장하는 다른 완화 방법은 들어오는 NTLM 트래픽 제한 AD CS 서버에. NTLM을 전체 서버로 제한하는 것이 너무 가혹한 경우 Microsoft는 다음 방법을 지시합니다. "인증 기관 웹 등록" 또는 "인증서 등록 웹 서비스" 서비스에 대해 NTLM 비활성화 IIS 수준에서. 최후의 수단으로 Microsoft는 다음을 권장합니다. AD CS에 EPA 활성화.

Silverfort 지도

Microsoft의 권장 사항에서 까다로운 부분은 환경에 적합한 완화를 선택하는 것입니다. 다음 사항을 권장합니다. Silverfort 고객 :

1. 도메인의 모든 AD CS 서버 나열 - 특히 Cert Publishers 보안 그룹에서 의심되는 AD CS 서버 목록을 찾는 것이 좋습니다. 각각에 대해 다음을 필터링합니다. Silverfort 해당 서버에 대한 NTLM 인증을 위해 로그합니다.
2. AD CS 서버에 대한 NTLM 인증이 없는 경우 NTLM을 AD CS 서버로 비활성화.
3. 그렇지 않으면 다음에 대한 Microsoft의 지침을 따르십시오. AD CS에 EPA 활성화.