Silverfort Güvenlik Danışma Belgesi: AD CS'ye NTLM Geçişi – PetitPotam ve Yazıcı Hatası

PetitPotam saldırısı, GitHub'da yayınlandı, uzak bir sunucunun bir hedef sunucuda kimlik doğrulaması yapmasına neden olur. NTLM, EfsRpcOpenFileRaw adlı bir MS-EFSRPC komutu kullanarak. MS-EFSRPC, şifrelenmiş dosyalara uzaktan erişim sağlayan bir protokoldür. Bir sunucunun NTLM ile uzaktan kimlik doğrulaması yapmasına neden olmak kötüdür çünkü NTLM geçiş saldırılarını tetiklemek için kullanılabilir.

Özellikle tehlikeli bir NTLM geçiş saldırısı, Active Directory Sertifika Hizmetleri (AD CS). İçinde  Whitepaper (ESC8'e bakın), SpecterOps, bir makineyi devralmak veya o makinenin kimliğine bürünmek için AD CS'de bir NTLM geçiş saldırısının nasıl kullanılacağını açıklar. Makinenin kimliğine bürünmek için, makine tarafından bir istemci sertifikası istenir. Saldırgan, istemci sertifikasını aldıktan sonra etki alanını veya hedef makineyi ele geçirmek için aşağıdaki tekniklerden birini kullanabilir:

1. Makine bir etki alanı denetleyicisi veya başka bir ayrıcalıklı bilgisayarsa, kimlik bilgilerini dizindeki sırları eşitlemek için kullanabilir ve etki alanından etkin bir şekilde ödün verebilir.
2. Saldırgan, herhangi bir kullanıcı olarak hedef makineye bir hizmet bileti almak için S4U2Self protokolünü kullanabilir.
3. Saldırgan, makine NT sağlamasını elde etmek için PKInit'i kullanabilir ve ardından bir gümüş bilet saldırısı gerçekleştirebilir.

Yazıcı Hatası

Bu güvenlik açığı, ilgili ancak farklı Yazıcı Hatası (DerbyCon 2018'de Will Schroeder tarafından sunulmuştur). Bu güvenlik açığı bir saldırganın NTLM'yi tetiklemesine olanak tanır kimlik doğrulama PrinterSpooler hizmetini çalıştıran herhangi bir istemci tarafından. Aşağıda sağlanan azaltımlar, hem PetitPotam'ın hem de Printer Bug'ın AD CS sunucusuna NTLM aktarımı gerçekleştirmesini önleyecek ancak farklı bir hedefe yönelik NTLM geçiş saldırısını engellemeyecektir. Son zamanlarda çok sayıda Yazıcı Biriktiricisi güvenlik açığı yayımlandığından, yazdırmaya ihtiyaç duymayan tüm üye sunucularda ve etki alanı denetleyicilerinde Yazıcı Biriktiricisi'nin devre dışı bırakılmasını öneririz.

Microsoft Rehberliği

Microsoft bu güvenlik açığını gidermeyecek, ancak birkaç olası öneride bulunuyor azaltmalar. Tercih edilen hafifletme oldukça aşırıdır - etki alanında NTLM'yi tamamen devre dışı bırakın. Tecrübelerime göre, bu pratik bir tavsiye değil, NTLM genellikle ağdaki tüm kimlik doğrulamanın yüzde iki hanesini kaplar. Bunu sıfıra indirmek genellikle pratik değildir. Önerdikleri diğer hafifletme yöntemi, gelen NTLM trafiğini kısıtla AD CS sunucusuna. NTLM'yi tüm sunucuyla sınırlamak çok zorsa, Microsoft nasıl yapılacağını söyler. "Sertifika Yetkilisi Web Kaydı" veya "Sertifika Kaydı Web Hizmeti" hizmetleri için NTLM'yi devre dışı bırakın IIS düzeyinde. Son çare olarak, Microsoft şunları önerir: AD CS için EPA'yı etkinleştirme.

Silverfort Rehberlik

Microsoft'un önerisiyle ilgili zor kısım, ortamınız için doğru olan hafifletmeyi seçmektir. için aşağıdakileri öneririz Silverfort müşteriler:

1. Etki alanınızdaki tüm AD CS sunucularını listeleyin – şüpheli AD CS sunucularının listesini bulmak için özellikle Cert Publishers güvenlik grubuna bakmanızı öneririz. Her biri için filtreleyin Silverfort NTLM kimlik doğrulaması için bu sunucuya giriş yapın.
2. AD CS sunucularının hiçbirinde NTLM kimlik doğrulaması yoksa, AD CS sunucularında NTLM'yi devre dışı bırakın.
3. Aksi takdirde, Microsoft'un yönergelerini izleyin. AD CS için EPA'yı etkinleştirme.