Silverfort คำแนะนำด้านความปลอดภัย: NTLM ส่งต่อไปยัง AD CS – PetitPotam และ Printer Bug
กรกฎาคม 27th, 2021 ยิฟทัคเคเชท
การโจมตีของ PetitPotam เผยแพร่เมื่อ GitHubทำให้เซิร์ฟเวอร์ระยะไกลตรวจสอบสิทธิ์กับเซิร์ฟเวอร์เป้าหมายด้วย NTLMโดยใช้คำสั่ง MS-EFSRPC ชื่อ EfsRpcOpenFileRaw MS-EFSRPC เป็นโปรโตคอลที่ช่วยให้สามารถเข้าถึงไฟล์ที่เข้ารหัสจากระยะไกล การทำให้เซิร์ฟเวอร์ตรวจสอบสิทธิ์กับ NTLM จากระยะไกลนั้นไม่ดี เนื่องจากสามารถใช้เพื่อทริกเกอร์การโจมตีแบบส่งต่อ NTLM ได้
การโจมตีแบบส่งต่อ NTLM ที่อันตรายอย่างยิ่งคือการโจมตีที่กำหนดเป้าหมายไปที่ Active Directory บริการออกใบรับรอง (AD CS) ใน whitepaper (ดู ESC8) SpecterOps อธิบายวิธีใช้การโจมตีรีเลย์ NTLM บน AD CS เพื่อเข้ายึดเครื่องหรือปลอมแปลงเป็นเครื่องนั้น หากต้องการเลียนแบบเครื่อง เครื่องจะขอใบรับรองไคลเอ็นต์ เมื่อได้รับใบรับรองไคลเอนต์แล้ว ผู้โจมตีจะสามารถใช้เทคนิคใดเทคนิคหนึ่งต่อไปนี้เพื่อเข้ายึดโดเมนหรือเครื่องเป้าหมาย:
- หากเครื่องเป็นตัวควบคุมโดเมนหรือคอมพิวเตอร์ที่มีสิทธิ์อื่น เครื่องจะสามารถใช้ข้อมูลประจำตัวเพื่อซิงค์ข้อมูลลับจากไดเร็กทอรี ซึ่งจะทำให้โดเมนเสียหายได้อย่างมีประสิทธิภาพ
- ผู้โจมตีสามารถใช้โปรโตคอล S4U2Self เพื่อรับตั๋วบริการไปยังเครื่องเป้าหมายในฐานะผู้ใช้คนใดก็ได้
- ผู้โจมตีสามารถใช้ PKInit เพื่อรับแฮช NT ของเครื่อง จากนั้นเรียกใช้การโจมตี Silver Ticket
ข้อผิดพลาดของเครื่องพิมพ์
ช่องโหว่นี้มีความเกี่ยวข้องแต่แตกต่างจาก ข้อผิดพลาดของเครื่องพิมพ์ (นำเสนอใน DerbyCon 2018 โดย Will Schroeder) ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเรียกใช้ NTLM ได้ การรับรอง โดยไคลเอนต์ใด ๆ ที่ใช้บริการ PrinterSpooler การบรรเทาผลกระทบที่ให้ไว้ด้านล่างนี้จะป้องกันไม่ให้ทั้ง PetitPotam และ Printer Bug ทำการถ่ายทอด NTLM ไปยังเซิร์ฟเวอร์ AD CS แต่จะไม่บล็อกการโจมตีการถ่ายทอด NTLM ไปยังเป้าหมายอื่น เนื่องจากมีช่องโหว่ของ Printer Spooler หลายช่องโหว่ที่เผยแพร่เมื่อเร็วๆ นี้ เราขอแนะนำให้ปิดการใช้งาน Printer Spooler บนเซิร์ฟเวอร์สมาชิกและตัวควบคุมโดเมนทั้งหมดที่ไม่จำเป็นต้องพิมพ์
คำแนะนำของ Microsoft
Microsoft จะไม่แก้ไขช่องโหว่นี้ แต่จะให้คำแนะนำหลายประการที่เป็นไปได้ การบรรเทา. การบรรเทาผลกระทบที่ต้องการนั้นค่อนข้างรุนแรง – ถึง ปิดการใช้งาน NTLM ในโดเมนโดยสมบูรณ์. จากประสบการณ์ของผม นั่นไม่ใช่คำแนะนำที่ใช้งานได้จริง โดยปกติแล้ว NTLM จะใช้เปอร์เซ็นต์สองหลักของการตรวจสอบสิทธิ์ทั้งหมดในเครือข่าย การลดค่านี้ให้เหลือศูนย์มักทำไม่ได้ การบรรเทาผลกระทบอื่น ๆ ที่พวกเขาแนะนำคือ จำกัดการรับส่งข้อมูล NTLM ขาเข้า ลงในเซิร์ฟเวอร์ AD CS หากการจำกัด NTLM ไว้ทั้งเซิร์ฟเวอร์นั้นรุนแรงเกินไป Microsoft จะแนะนำวิธีการดังกล่าว ปิดการใช้งาน NTLM สำหรับบริการ "การลงทะเบียนเว็บของผู้ออกใบรับรอง" หรือ "บริการเว็บการลงทะเบียนใบรับรอง" ในระดับ IIS เป็นทางเลือกสุดท้าย Microsoft แนะนำ เปิดใช้งาน EPA สำหรับ AD CS.
Silverfort คำแนะนำ
ส่วนที่ยุ่งยากเกี่ยวกับคำแนะนำของ Microsoft คือการเลือกการบรรเทาที่เหมาะสมกับสภาพแวดล้อมของคุณ เราขอแนะนำสิ่งต่อไปนี้สำหรับ Silverfort ลูกค้า:
- แสดงรายการเซิร์ฟเวอร์ AD CS ทั้งหมดในโดเมนของคุณ - เราขอแนะนำให้ดูที่กลุ่มความปลอดภัยของ Cert Publishers โดยเฉพาะ เพื่อค้นหารายการเซิร์ฟเวอร์ AD CS ที่น่าสงสัย สำหรับแต่ละตัวกรอง ให้กรอง Silverfort บันทึกสำหรับการรับรองความถูกต้อง NTLM ไปยังเซิร์ฟเวอร์นั้น
- หากไม่มีการรับรองความถูกต้องของ NTLM ไปยังเซิร์ฟเวอร์ AD CS ใด ๆ ปิดการใช้งาน NTLM ในเซิร์ฟเวอร์ AD CS.
- มิฉะนั้น ให้ปฏิบัติตามคำแนะนำของ Microsoft สำหรับ เปิดใช้งาน EPA สำหรับ AD CS.
