Microsoft publishes mitigations for the PetitPotam attack
마이크로소프트가 공격자가 도메인 컨트롤러를 탈취하도록 허용하는 PetitPotam NTLM 공격에 대한 완화법을 공개했습니다.
며칠 전, 보안 연구원인 Gilles Lionel(Topotam으로도 알려짐)은 공격자가 원격으로 윈도우 기기에서 시스템을 강제로 인증하고 비밀번호 해시를 공유하도록 허용하는 Windows OS의 취약점을 발견했습니다.
이 공격은 원격으로 저장되고 네트워크를 통해 접근되는 암호화된 데이터에 대한 유지 보수 및 관리 작업을 수행하는데 사용되는 EFSRPC(Encrypting File System Remote) 프로토콜을 악용합니다.
PetitPotam 기술은 지원되는 대부분의 Windows 버전에 잠재적으로 영향을 미칠 수 있으며 Windows 10, Windows Server 2016, Windows Server 2019 시스템에서 테스트에 성공했습니다.
또한 Lionel은 GitHub에 PoC 익스플로잇 코드를 게시하기도 했습니다.
그는 PetitPotam 공격을 시연해 원격 시스템의 MS-EFSRPC 인터페이스에 SMB 요청을 보내고, 강제로 시스템이 인증 절차를 시작한 후 NTLM 인증 해시를 공유하도록 했습니다.
NTLM 인증 해시는 릴레이 공격을 수행하는 데 사용되거나 추후 해킹되어 피해자의 비밀번호를 얻어내는데 사용될 수 있습니다.
PetitPotam 공격은 공격자가 도메인 컨트롤러를 탈취해 전체 조직을 해킹하도록 허용할 수 있기 때문에 매우 위험할 수 있습니다.
마이크로소프트는 PetitPotam 공격 기술을 발견한 후 해당 공격에 대한 완화법을 포함한 보안 권고를 발표했습니다.
마이크로소프트는 PetitPotam에 대해 고전적인 NTLM 릴레이 공격이라 지적했습니다. 또한 도메인 관리자가 NTLM이 활성화된 네트워크에서 NTLM 릴레이 공격을 방지하기 위해서는 NTLM 인증을 허용하는 서비스를 보호해야한다고 밝혔습니다.
“NTLM이 활성화된 네트워크에서 NTLM 릴레이 공격을 방지하기 위해서, 도메인 관리자는 NTLM 인증을 허용하는 서비스가 인증을 위한 확장 보호(EPA) 또는 SMB 서명과 같은 서명 기능을 사용해야 합니다. PetitPotam은 AD CS(Active Directory Certificate Services)에 NTLM 릴레이 공격에 대한 보호로 구성되어 있지 않은 서버를 활용합니다. 이러한 공격으로부터 AD CS 서버를 보호하는 방법은 KB5005413에 설명되어 있습니다.”
또한 도메인에 NTLM 인증이 활성화되었으며 인증 기관 웹 등록, 인증서 등록 웹 서비스와 함께 AD CS를 사용하는 조직이 이 공격에 가장 많이 노출되는 것으로 나타났습니다.
마이크로소프트는 필요하지 않을 경우 NTLM을 비활성화 하거나, 인증 메커니즘에 대한 확장 보호 장치를 활성화하여 윈도우 컴퓨터에서 크리덴셜을 보호할 것을 권장했습니다.
출처:
https://securityaffairs.co/wordpress/120550/security/petitpotam-attack-mitigations.html
https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2009/974926
https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
LockBit 랜섬웨어, 그룹 정책 통해 윈도우 도메인 암호화 자동화해 (0) | 2021.07.28 |
---|---|
마이크로소프트, 윈도우 및 리눅스 시스템을 노리는 LemonDuck 악성코드 경고 (0) | 2021.07.27 |
전화번호 38억 건이 포함된 클럽하우스 데이터베이스 판매돼 (0) | 2021.07.26 |
macOS 악성코드 XCSSET, 구글 크롬 및 텔레그램 소프트웨어 노려 (0) | 2021.07.26 |
오라클, Weblogic 서버에 존재하는 치명적인 RCE 취약점 수정 (0) | 2021.07.23 |
댓글 영역