Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari:petitpotam_-_ntlm_relay_napadi [2023/01/13 11:44]
ld50354 		racfor_wiki:seminari:petitpotam_-_ntlm_relay_napadi [2024/12/05 12:24] (trenutno)
Redak 2: Redak 2:
 NTLM Relay napadi vječiti su problem u Windows komunikacijskim mrežama te se tehnike ovih napada neprestano razvijaju i poboljšavaju. Kako bi osigurali sve potencijalne vektore napada mreža potrebno je ostati korak ispred napadača i aktivno tražiti te uklanjati ranjivosti vezane uz NTLM autentikacije. Francuski sigurnosni istraživač Gilles Lionel, poznat kao Topotam, razvio je novu tehniku NTLM napada pod nazivom "PetitPotam" koja je koristila drugačiji API od uobičajenih metoda, te je time osvijestio javnost o potencijalnim ranjivostima koje bi napadači mogli koristiti kako bi dobili kontrolu nad kritičnim sustavima. PetitPotam je novija tehnika napada, no već su se pojavile mnoge metode prevencije koje će sigurnosno osviještene organizacije iskoristiti kako bi se zaštitile od ovog značajno opasnog napada. NTLM Relay napadi vječiti su problem u Windows komunikacijskim mrežama te se tehnike ovih napada neprestano razvijaju i poboljšavaju. Kako bi osigurali sve potencijalne vektore napada mreža potrebno je ostati korak ispred napadača i aktivno tražiti te uklanjati ranjivosti vezane uz NTLM autentikacije. Francuski sigurnosni istraživač Gilles Lionel, poznat kao Topotam, razvio je novu tehniku NTLM napada pod nazivom "PetitPotam" koja je koristila drugačiji API od uobičajenih metoda, te je time osvijestio javnost o potencijalnim ranjivostima koje bi napadači mogli koristiti kako bi dobili kontrolu nad kritičnim sustavima. PetitPotam je novija tehnika napada, no već su se pojavile mnoge metode prevencije koje će sigurnosno osviještene organizacije iskoristiti kako bi se zaštitile od ovog značajno opasnog napada.
  
-Ključne riječi: NTLM, NTLM Relay Attacks, PetitPotam, MS-RPRN API, EfsRpcOpenFileRaw +Ključne riječi: NTLM, NTLM Relay Attacks, PetitPotam, MS-RPRN API, MS-EFSRPC API , EfsRpcOpenFileRaw 
  
  
Redak 10: Redak 10:
 ====== NTLM Relay Napadi ====== ====== NTLM Relay Napadi ======
 NT LAN Manager je agregacija sigurnosnih protokola u Windows mrežama koji se koriste za autentikaciju, integritet i povjerljivost korisnika. Napadi koji iskorištavaju ranjivosti ovih protokola su dugotrajno poznate prijetnje u mnogim organizacijskim okolinama. NTLM protokol funkcionira razmjenom "challenge"-"response" poruka između korisnika i servera. U NTLM Relay napadu, napadač presreće ove poruke te ih prosljeđuje drugom serveru na mreži te tako dobiva pristup mreži kao autenticirani korisnik. Mnoštvo je načina na koji se NTLM napadi mogu pokrenuti, kao na primjer "Pass-the-Hash" napad u kojemu napadač prosljeđuje hash vrijednost korisnika te nju koristi za autentikaciju na drugim serverima u mreži. No najčešća metoda je takozvani "Man-in-the-middle" napad u kojemu napadač presreće poruke između korisnika i servera te se tako autenticira u mreži. Slika 1. prikazuje uobičajeni princip rada ovakvog napada. NT LAN Manager je agregacija sigurnosnih protokola u Windows mrežama koji se koriste za autentikaciju, integritet i povjerljivost korisnika. Napadi koji iskorištavaju ranjivosti ovih protokola su dugotrajno poznate prijetnje u mnogim organizacijskim okolinama. NTLM protokol funkcionira razmjenom "challenge"-"response" poruka između korisnika i servera. U NTLM Relay napadu, napadač presreće ove poruke te ih prosljeđuje drugom serveru na mreži te tako dobiva pristup mreži kao autenticirani korisnik. Mnoštvo je načina na koji se NTLM napadi mogu pokrenuti, kao na primjer "Pass-the-Hash" napad u kojemu napadač prosljeđuje hash vrijednost korisnika te nju koristi za autentikaciju na drugim serverima u mreži. No najčešća metoda je takozvani "Man-in-the-middle" napad u kojemu napadač presreće poruke između korisnika i servera te se tako autenticira u mreži. Slika 1. prikazuje uobičajeni princip rada ovakvog napada.
 +
 +{{ :racfor_wiki:seminari:ntlm-relay-attack.png?400 |}}
  
 **Slika 1:** Princip rada NTLM Relay napada **Slika 1:** Princip rada NTLM Relay napada
Redak 18: Redak 20:
 ====== PetitPotam Napad ====== ====== PetitPotam Napad ======
 Bitna značajka mnogih NTLM posredničkih napada je to što napadač ne može započeti interakciju bez aktivnog sudjelovanja od strane korisnika. Korisnik mora započeti interakciju kako bi napadač mogao posredovanjem uspostaviti uspješnu autentikaciju. Kako bi potaknuo korisnika da započne autentikaciju napadač može koristiti razne metode. Prije pojave PetitPotam napada najčešća metoda bila je korištenje MS-RPRN API-ja kako bi se postigao početak komunikacije, no kao odgovor velika količina organizacija je počela onemogućavati tu funkcionalnost da bi spriječili ovaj vektor napada. PetitPotam, za razliku od tih prijašnjih metoda, koristi drugačiji API, MS-EFSRPC. Oba API-ja su u standardnim postavkama omogućena što predstavlja rizik za organizacije koje ne predviđaju ovaj tip napada. Slika 2. prikazuje princip korištenja EfsRpcOpenFileRaw funkcije kako bi se započela NTLM autentikacija. Bitna značajka mnogih NTLM posredničkih napada je to što napadač ne može započeti interakciju bez aktivnog sudjelovanja od strane korisnika. Korisnik mora započeti interakciju kako bi napadač mogao posredovanjem uspostaviti uspješnu autentikaciju. Kako bi potaknuo korisnika da započne autentikaciju napadač može koristiti razne metode. Prije pojave PetitPotam napada najčešća metoda bila je korištenje MS-RPRN API-ja kako bi se postigao početak komunikacije, no kao odgovor velika količina organizacija je počela onemogućavati tu funkcionalnost da bi spriječili ovaj vektor napada. PetitPotam, za razliku od tih prijašnjih metoda, koristi drugačiji API, MS-EFSRPC. Oba API-ja su u standardnim postavkama omogućena što predstavlja rizik za organizacije koje ne predviđaju ovaj tip napada. Slika 2. prikazuje princip korištenja EfsRpcOpenFileRaw funkcije kako bi se započela NTLM autentikacija.
 +
 +{{ :racfor_wiki:seminari:petitpotam-attack-diagram.png?400 |}}
  
 **Slika 2:** Princip rada PetitPotam napada **Slika 2:** Princip rada PetitPotam napada
Redak 33: Redak 37:
  
 Ako napadač uspješno provede napad te dobije pristup domenskom serveru on može preuzeti cijelu mrežu, što je naravno znatni negativni utjecaj ovog napada. Slika 3. prikazuje princip dobivanja certifikata korištenjem PetitPotam napada. Ako napadač uspješno provede napad te dobije pristup domenskom serveru on može preuzeti cijelu mrežu, što je naravno znatni negativni utjecaj ovog napada. Slika 3. prikazuje princip dobivanja certifikata korištenjem PetitPotam napada.
 +
 +{{ :racfor_wiki:seminari:image.png?400 |}}
  
 **Slika 3:** PetitPotam iznuda certifikata **Slika 3:** PetitPotam iznuda certifikata
Redak 46: Redak 52:
 ====== Zaključak ====== ====== Zaključak ======
 Opasnost od NTLM Relay napada je oduvijek bila značajka Windows mreža te su se s vremenom razvile mnoge metode zaštite. Zbog znatne potencijalne štete koju PetitPotam napadi mogu uzrokovati radi velike razine privilegija koje napadači sebi mogu dodijeliti zaštita od ovakvih napada je od iznimne važnosti. Ovaj MITM napad često se može spriječiti raznim dodatnim autentikacijskim metoda, migriranjem na sigurnije sigurnosne protokole ili jednostavno redovitim sigurnosnim ažuriranjem. Unatoč tome što su u novije vrijeme ranjivosti vezane uz ovaj tip napada u velikom broju otklonjene i dalje je bitno educirati se o ovakvim tehnikama te poduzeti korake kako bi se zaštitili od malicioznih pokušaja preuzimanja kontrole nad organizacijskim mrežama. Opasnost od NTLM Relay napada je oduvijek bila značajka Windows mreža te su se s vremenom razvile mnoge metode zaštite. Zbog znatne potencijalne štete koju PetitPotam napadi mogu uzrokovati radi velike razine privilegija koje napadači sebi mogu dodijeliti zaštita od ovakvih napada je od iznimne važnosti. Ovaj MITM napad često se može spriječiti raznim dodatnim autentikacijskim metoda, migriranjem na sigurnije sigurnosne protokole ili jednostavno redovitim sigurnosnim ažuriranjem. Unatoč tome što su u novije vrijeme ranjivosti vezane uz ovaj tip napada u velikom broju otklonjene i dalje je bitno educirati se o ovakvim tehnikama te poduzeti korake kako bi se zaštitili od malicioznih pokušaja preuzimanja kontrole nad organizacijskim mrežama.
 +
 +Prezentacija seminara: https://docs.google.com/presentation/d/1XJ1Su6sgfoDavFdb1AfBmSxR_EH406ElLZfHgzWNsu4/edit?usp=sharing
 +
 +====== Literatura ======
 +[1] PetitPotam: Expanding NTLM Relay Attacks [online] Available at: [[https://www.extrahop.com/company/blog/2021/petitpotam-and-ntlm-relay-attacks/]] [Accessed: December 12, 2022].
 +
 +[2] How PetitPotam hijacks the Windows API, and what you can do about it [online] Available at: [[https://news.sophos.com/en-us/2021/08/25/how-petitpotam-hijacks-the-windows-api-and-what-you-can-do-about-it/]] [Accessed: December 12, 2022].
 +
 +[3] New PetitPotam attack allows take over of Windows domains [online] Available at: [[https://www.bleepingcomputer.com/news/microsoft/new-petitpotam-attack-allows-take-over-of-windows-domains/]] [Accessed: December 12, 2022].
 +
 +[4] Microsoft fixes new PetitPotam Windows NTLM Relay attack vector [online] Available at: [[https://www.bleepingcomputer.com/news/security/microsoft-fixes-new-petitpotam-windows-ntlm-relay-attack-vector/#:~:text=PetitPotam%20is%20an%20NTLM%20Relay,%2C%20aka%20Topotam%2C%20in%20July.]] [Accessed: December 12, 2022].
 +
 +[5] NTLM relay attacks explained, and why PetitPotam is the most dangerous [online] Available at: [[https://www.csoonline.com/article/3632090/ntlm-relay-attacks-explained-and-why-petitpotam-is-the-most-dangerous.html]] [Accessed: December 12, 2022].
 +
 +[6] QOMPLX Knowledge: NTLM Relay Attacks Explained [online] Available at: [[https://www.qomplx.com/qomplx-knowledge-ntlm-relay-attacks-explained/]] [Accessed: December 12, 2022].
 +
 +
 +
  
racfor_wiki/seminari/petitpotam_-_ntlm_relay_napadi.1673610272.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0