آسیب‌ پذیری ویندوز سرور ها

آسیب‌ پذیری ویندوز سرور ها در برابر حملات PetitPotam

بنابر گزارش مرکز ماهر : اخیراً یک نقص امنیتی در سیستم‌ عامل‌ های ویندوزی یافت شده که به موجب آن مهاجم قادر است سیستم‌ های ویندوزی آسیب‌ پذیر به طور خاص ویندوز سرورها را هدف قرار داده و کنترل آن را بدست گیرد، آسیب‌ پذیری ویندوز سرور ها در سیستم عامل های زیر وجود دارد:

  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2016
  • Windows Server, version 20H2
  • Windows Server, version 2004
  • Windows Server 2019

این حمله سایبری که یک نوع حمله‌ی NTLM Relay می‌ باشد، به نام PetitPotam شناخته شده است. به‌طور کلی مهاجمان در حمله PetitPotam، از سرویس‌ های موجود در دامنه که از احراز هویت NTLM استفاده می‌ کنند و در برابر حملات NTML Relay محافظت نشده‌ اند، بهره‌ برداری می‌کند.
مایکروسافت برای جلوگیری از این نوع حملات توصیه کرده است تا در سیستم‌ ها به خصوص DC هایی که احراز هویت NTLM مورد استفاده قرار نگرفته است، NTLM غیر فعال شود؛ در صورت عدم امکان غیرفعال‌ سازی، مدیران دامنه باید اطمینان حاصل کنند که هر سرویسی که از احراز هویت NTLM استفاده می‌کند با استفاده از مکانیزم EPA (Extended Protection for Authentication) یا SMB signing در برابر حملات مورد بحث و سرقت اعتبارنامه‌ سیستم‌ های ویندوزی محافظت شده‌ است.
به عنوان مثال یکی از سرویس‌ هایی که به‌ طور پیش‌ فرض از احراز هویت NTLM استفاده می‌ کند سرویس Certificate اکتیو دایرکتوری یا ADCS (Active Directory Certificate Service) است که می‌ تواند در این حملات مورد بهره‌ برداری قرار گیرد. برای اطلاع از جزییات چگونگی محافظت از سرور های ADCS در برابر آسیب‌ پذیری ویندوز سرور ها و کاهش مخاطرات آن، به این پیوند مراجعه کنید:

به گفته‌ مایکروسافت در صورتی که احراز هویت NTLM در دامنه فعال بوده و Certificate Service موجود در اکتیو دایرکتوری یا AD CS به همراه هر یک از سرویس‌ های زیر استفاده شود، سیستم آسیب‌ پذیر است:

Certificate Enrollment Web Service
Certificate Authority Web Enrollment

در اکثر موارد احراز هویت NTLM در شبکه فعال است و سرور های AD CS نیز به طور پیش‌فرض در برابر حملات NTLM relay محافظت نشده‌ اند. با توجه به اینکه اجرای موفق این حمله می‌ تواند منجر به تحت کنترل گرفتن DC و در آخر کل شبکه سازمان شود، توصیه می‌ شود در اسرع وقت نسبت به مقاوم‌ سازی سرویس‌ ها و سرور های موجود در دامنه که از احراز هویت NTLM استفاده می‌ کنند، اقدام کنید.

اشتراک گذاری

دیدگاهتان را بنویسید

لطفا امتیاز دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *