Theo Threat Post, Microsoft đã nhanh chóng phản ứng bằng một bản sửa lỗi cho cuộc tấn công PetitPotam, một kỹ thuật tấn công có khả năng buộc các hệ thống từ xa của Windows tiết lộ hàm băm mật khẩu .
Điều này có thể được sử dụng để gây ra sự cố cho hệ thống sau khi các bước băm mật khẩu được tiết lộ. Microsoft đã khuyến nghị các quản trị viên hệ thống tránh sử dụng Windows NT LAN Manager hiện đã lỗi thời để tránh bị tấn công (NTLM).
Lỗ hổng PetitPotam có liên quan đến hệ điều hành Windows và việc khai thác giao thức truy cập từ xa được gọi là Giao thức từ xa hệ thống tệp mã hóa (EFSR) (MS -EFSRPC). . Nói một cách đơn giản, nó cho phép quản lý dữ liệu trong khi thực hiện các chính sách để kiểm soát việc truy cập dữ liệu.
Hôm thứ Năm, nhà nghiên cứu bảo mật Gilles Lionel lần đầu tiên phát hiện ra lỗ hổng này và công bố mã khai thác cho vụ tấn công. Vào ngày hôm sau, Microsoft đã đưa ra một cảnh báo nêu rõ các biện pháp giảm nhẹ bảo vệ hệ thống có thể được áp dụng trong thời gian chờ đợi. Theo Lionel, một cuộc tấn công PetitPotam có thể diễn ra tình huống tương tự này. Ông đã chứng minh cách một cuộc tấn công từ PetitPotam có thể được liên kết với một khai thác Windows Active Directory Certificate Services (AD CS) cung cấp khả năng cơ sở hạ tầng khóa công khai (PKI).
Tin tặc có thể dễ dàng giải mã mật khẩu đã băm ở chế độ ngoại tuyến
Theo nghiên cứu, The PetitPotam PoC là một cuộc tấn công MITM nhằm vào hệ thống xác thực NTLM của Microsoft. Sau bước này, kẻ tấn công sử dụng SMB để tìm cách truy cập vào giao diện MS-EFSRPC của hệ thống từ xa. Nhà nghiên cứu bảo mật tuyên bố điều này khiến máy được nhắm mục tiêu xác thực và cung cấp thông tin đăng nhập của nó thông qua NTLM.
Vì giao thức NTLM không phù hợp để xác thực, mật khẩu băm có thể dễ dàng đọc và bẻ khóa ngoại tuyến. Kể từ năm 2010, NTLM đã bị chỉ trích là một giao thức xác thực kém. Microsoft khuyên rằng nên tắt xác thực NTLM trên bộ điều khiển miền Windows. Đối với các dịch vụ AD CS, nó cũng khuyên rằng nên sử dụng tùy chọn Bảo vệ Xác thực Mở rộng (EPA).
Gã khổng lồ phần mềm cũng tuyên bố rằng các doanh nghiệp đã bật xác thực NTLM trong miền của họ và / hoặc sử dụng “Dịch vụ web đăng ký chứng chỉ” và “Đăng ký web tổ chức phát hành chứng chỉ” sẽ bị tấn công PetitPotam.
Nguồn: https://news.softpedia.com/
