کشف یک سوءاستفاده جدید از ویندوز

خبرگزاری ایسنا سه شنبه 05 مرداد 1400 - 14:57
فعال ‌بودن تأیید اصالت‌سنجی NTLM و غیر فعال بودن برخی محافظت‌ها، ویندوز را در برابر مهاجمان سایبری آسیب‌پذیر کرده است. 
کشف یک سوءاستفاده جدید از ویندوز

به‌گزارش ایسنا، مهاجمان سایبری با اجرای حملاتی معروف به NTLM Relay ، کنترل Domain Controller (کنترل‌کننده دامنه) و کل دامنه شبکه را در اختیار می‌گیرند. مهاجمان پس از کنترل Domain Controller و در اختیار گرفتن کل دامنه شبکه، هر فرمان دلخواه خود را در سطح دامنه به اجرا در می‌آورند.

محققی که این تکنیک مهاجمان سایبری را کشف کرده و نام آن را PetitPotam  گذاشته، معتقد است این مسئله را نمی‌توان به‌عنوان یک آسیب‌پذیری در نظر گرفت بلکه به‌نوعی، سوءاستفاده از یک تابع معتبر است. این تابع معتبر که بصورت مخفف MS-EFSRPC نامیده می‌شود، برای انجام عملیات نگهداری و مدیریت داده‌های رمزگذاری‌شده‌ای استفاده می‌شود که به‌صورت از راه دور، در بستر شبکه ذخیره و فراخوانی می‌شوند. این محقق امنیتی اهل فرانسه، اظهار داشته که این تکنیک ممکن است در حملات دیگر سایبری نیز استفاده شود.

محقق کاشف PetitPotam که معتقد است تنها راه مقابله با این حملات، غیرفعال‌کردن تأیید اصالت‌سنجی NTLM یا فعال‌کردن محافظت‌هایی همچون امضاهای SMB و LDAP و  همچنین Channel Binding در ویندوز است، در عین حال تاکید می‌کند متوقف کردن سرویس EFS نیز مانع سوءاستفاده از این تکنیک مهاجمان سایبری نمی‌شود. جزئیات بیشتر در خصوص تکنیک PetitPotam، شیوه کار مهاجمان با استفاده از آن، اطلاعات فنی و نمونه کدهای بهره‌جوی (PoC)، در پایگاه اینترنتی مرکز مدیریت راهبردی افتا منتشر شده است.

انتهای پیام

منبع خبر "خبرگزاری ایسنا" است و موتور جستجوگر خبر تیترآنلاین در قبال محتوای آن هیچ مسئولیتی ندارد. (ادامه)
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت تیترآنلاین مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویری است، مسئولیت نقض حقوق تصریح شده مولفان از قبیل تکثیر، اجرا و توزیع و یا هرگونه محتوای خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.